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Patentansprflche 

1. Kryptographie-Verfahren nach dcr Public-Key-Code-Methode von Rivest, Shamir und Adlcman (RSA- 
Verfahren), urafassend die Anwendung der nachfolgcndcn Operationen zur Chiffrierung bzw. VerschlOssel- 
ung von Nachrichten : 

— Auswahi zweier groBer Primzahlen pund gund ciner weiteren groBen Zahl £ 

— Bildung des Produktes N ' «■ p • 

I Imn.on/JllinfT A»r rhiffri^rpndf?n Narhrirht#»n in *»inp Kpttp vnn vnmijrsweise Pleichlkncen 

Gliedern deren Werte als Zahl kleiner als der Wert der Zahl A/ist, 

— Chiffrierung dieser Glieder durch die jeweilige Erhebung in die E-te Potenz mit.ajischlieOender 
BOdung von Modulo N(d. h_ es entstehcn die Zahlen Q - pf Modulo AQ. 

— wobei die Potenzierung durch eine Folge von Multiplikationen ersetzt wird und nach jeder Multipli- 
kation sofort eine Modulo-Operation ausgefuhrt wird (d h, es wird im Restklassenring Qber N mulupli- 
ziert), 

— wobei die Multiplikation in Einzelschritte zerlegt wird, so daB aus der Multiplikation eine Folge von 
Additionen entsteht, und 

— wobei die Modulo-Operation nach dem klassischen Divisionsalgorithmus durch eine Folge von 
Subtrakuonen ersetzt wird. 

gekennzeichnet durch die Anwendung eines ersten Look-Ahead- Verfahrens (Vorausberechnungsverfah- 
ren) fur die Division (Fig- 5), so daB auch die Multiplikation mit einem zweiten Look-Ahead- Verfahren 
(Fig. 4) durchfuhrbar ist 

2. Kryptographie-Verfahren nach Anspruch 1, gekennzeichnet durch Look-Ahead-Algorithmen, mit denen 
die maximal notwendige Ahzahl von Addilionen bzw. Subtraktionen reduziert wird. 

3. Kryptographie-Verfahren nach Anspruch 2, dadurch gekennzeichnet, daB das erste Look-Ahead-Verfah- 
ren fur die Modulo-Operation so gewahlt ist, daB der wahrscheinlichkeitstheoretische Erwartungswert der 
Anzahl der beim ersten Look-Ahead- Verfahren ubersprungenen Operationen genauso groB ist wie der 
wahrscheinlichkeitstheoretische Erwartungswert, der beim zweiten Look- Ahead- Verfahren fur die Multi- 
plikation ubersprungenen Operationen. 

4. Kryptographie-Verfahren nach Anspruch 3, gekennzeichnet durch eine Entkopplung der beiden Look- 
Ahead- Venahren, wobei jeder der beiden Look-Ahead- Verfahren einen Schiebebetrag (sz bzw. sn) erzeugt, 
der angibt, urn wieviel Bitt das Zwischenergebnis (2) der Multiplikation bzw. der Modulus (A/) pro Zyklus 
verschoben wjrd wobe : . das Zwischenergebnis (Z) absotut urn sz-Bits und der Modulus (N) relativ zum 
Zwischenergebnis (2) urn sn- f: is verschoben wird 

5. Kryptographie-Verfahren nach einem der vorhergehenden AnsprOche 1—4, gekennzeichnet durch die 
Zusammenfassung der Addition bzw. Subtraktion des Multiplikations- und des Modulo-Schrittes zu einer 
einzigen Operation (3-Operanden-Addition), wobei pro Schritt nicht zwei, sondern drei Operanden wie 
folgt addiert werden: 

A[i) 
+ Bill 
+ fli) 
51 50 = 0.3 



A [maK+i).. X10] = 0 

y|max+ II - 0 Yli\ Y[0h 

und wobei diese 3-Operanden-Addition in zwei Abschnitte unterteilt wird 

6. Kryptographie-Verfahren nach Anspruch 5, dadurch gekennzeichnet. daO der erste der beiden Abschnitte 
so gewahlt ist, daB an jeder binaren Stelle eine Summe der drei Bits der Operanden A, B und Cgebildet wird 
wobei die Summe von A [ij B[t\ und C[/] zwischen 0 und 3 liegt. sie also binar mit den zwei Bits S 1 und 50 
darstelibar ist t und wobei aus den zwei Summenbits in folgender Weise zwei neue Zahlen X und Y 
zusammengestellt werden: 

Y[l\ : - nicderwertiges Bit von A [l\ + B[!\ -f C[!\. 

Vfmax + I]: - 0. 

X[i + I] : - h6herwcrugcs Bit von A [/] + B[i] + C[i] und 
X [0) : - 0. 

(i » 0 max). 

7. Kryptographie-Verfahren nach Anspruch 5 und 6, dadurch gekennzeichnet. daQ der zweite Abschnitt so 
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gewahlt ist, da* die Zahlen Xvad Yin an sich bekannter Weise mil Cany (Obertrag) addiert werden, und 
daB demgegenuber die Bitaddiiion ohne Carry des ersten Absclinitts zu einem Zeitpunkt ausgefuhr, wird. in 
wrbwitetTM dd ' tl0nS,08llc durdl e ' n Prechar g e S '8nal (Vorbereitungssignal) auf den nachsten Zyklus 

8. Kryptographie-Verfahren nach Anspruch 7. dadurch gekennzeichnet. daB die Addition folgende Schritte 
umlaut* 



a) Aufteilung der langen bzw. groBen Zahlen A' und Kin kleine Blocks (32) 

b) Gleichzeit£e Berechnung der Carry-Bits innerhalb der Blocke (32) nach einem an sich bekannten 
Carry- Look-Ahead- Verfahren, und 

c) Weitergabe^les ^rry-BiU ; je eines Blockes zum jeweils nachfolgenden Block, fur den Fail daB sich 
die Carry-Bits benachbarter Blocke nicht beetnflussea 

9. Kryptographie-Verfahren nach Anspruch 8. dadurch gekennzeichnei, daB ein durch die Blocke f32> 
aktivierbarer Unterbrecher (62) vcrgesehen ist, der fur den Fall, daB sich Carry-Bits uber benachbane 
Blocke hmaus beemflussen, die erforderliche Zeit fur deren Berechnung und Berucksichtigung bereithalt 
(Fig. 14). 6 

10. Kryptographie-Prozwsor zur Durchfuhrung des Kryptographie-Verfahrens, gekennzeichnei durch eine 
Aneinanderreihung von fQr die Berechnung der einzelnen Operationen spezialisierten Elementarzellen MOI 
wobet jeweils mehrere Elementarzellen (10) stufenweise [Fig. 6) zu grofleren Blacken (.*>• Fie 9) zusam- 
mengefaBt sind, und wobei jedero Block (28; 32) ein baumartiges hierarchisches Cany-v.ook-Ahead-Ele 
meet (30) zugeordnet ist, wodurch im Nonr.aHall gewahrleistet ist. daB die Zeit zur Addition iweier Zahlen 
unabhangig von der Lange dieser Zahlen ist, und wobei in jedem Block (32) der Obertrag parallel durchee- 
fuhrt wird. ' 5 

1 1. Kryptographie-Prozessor nach Anspruch 10, dadurch gekennzeichnei. daB die Elementarzellen (10) die 
folgenden Register und Logik-Bauteile enthalten: 11 

- ein Register (12) fur den Multiplikator (M), 

- ein Code-Register (14), 

- ein Datum-Register (16), 

- ein UD-Shift-Register (18), in dem wahrend der Berechnung ein Vielfaches des Modulus (M stent, 
und das auBerder Spe.cherfunktion die Fahiykeit besitzt. den Modulus (/V) in einem Schritt in dne der 
beidenRichtungen urn mehrere Stellen zu verschieben 

v^rechlebeS^ ^ Ereeb " iS der Addition - ein Zwischenergebnis (2) urn mehrere Bits 

ra^nTurfOh? ^ ^ 0h " C ° bertragsbit ( Carr y- Bi * °en ersten Schritt der 3-Operanden-Ope- 
^^^SS^S^ m B - dd5e -^«-onnenen Zahlen addiert und a, ein 
• • ein Carry-Look-Ahead-Element (26), welches ein Obertragsbit berechnet. 

parSd arbdtei' e ' PrOZeSSOr AnSprUC " 1 1 ' dadurch 8 e kennzeichnet, daB alle Komponenten (12-26) 
13 Kiyptographie-Prozessor nach einem der vorhergehenden Ansprfche 10-12, dadurch gekennzeichnei. 
H BI8C n C (M) • °" E lr e , n,aree " en (1 °> 2U grdBeren Blacken ( 32 ) zusammengefaB; sinA wobei 

EfenVeSm^ 

Elemente(30)der Blocke (32) wtederum baumartigzusammengestellt werden, und wobei auf jedem Oberjre- 
ordneten Carp^L<K»k-Ahead-E1ement(30) eines Blockes (32)der Obertrag gleichzeitig berechnet wird. und 
£ k ? ,g " al X&«* nf »"* einen Unterbrecher (62) ansteuert, wobei der Unter 

brecher (62) die von den Carry-Look-Ahead-Elementen (30) kommenden Signale verarbeitet und die Takte 
Or etwa acht Zyklen unterbrtcht. falls ein Carry-Look-Ahead-Element eines Blockes (32) ein Signal gibe 
• w P w ™P p h,e ?ro . ze "? r / nach e'nem der vorhergehenden AnsprOche 10-13. gekennzeichnei durch 

- eine Schiebelogik (50) f Or die Multiplication, 

- eine Schiebelogik (52) f Or die Modulo-Operation. 

- einen Vergleicher (38). der die obcrsten Bits des Zwischenergebnisses (2) des Volladdierers (24) mil 
den obersten Bits von 1/3. 1/6. 1/12 usw. von Modulus ^parallel mitt=nander vergleichu 

- einen ersten Begrenzer(54)furdie Multiplikation. der den maximalen Schiebebetrag des Zwischen- 
ergebnisses (2) im Bedarfsfall begrenzt, und einen zweiten Begrenzer (56) for die Modulo-Operation. 
der den maximalen &^ 

-zwei Zahler (58, 60). von denen der crste Zahler (58) die noch zu verarbeitenden Bits des Registers 
(12) und von denen der zweite Zahler (60) die Position von Modulus A/in einem Puffer (34) angibt 

15. Kryptographie-Prozessor nach einem der vorhergehenden Ansp;Uche 10-14. gekennzeichnei durch 
einen als Puffer t r4) ausgebildeten Elementarblock mi, einer Lange von ca. 20 Bits, der die Too -Ahead S 
gonthmen fdr die Multiplikation und fur die ModuloOperationen voneinander entkoppelu indem N in den 
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Puifer (34) hineinlauf; und wobei die MullMod-Steuereinheit (36) durch die Bcgrenzei (58, 60) gewahrlei- 
stet daQ der Modulus rVnicht flber die Puffergrenze nach oben oder untcn hinauslauft. 

16. Kryptogriphie-Prozessor nach Anspruch 10, dadurch gekennzeichnei. daQ jeweils zwanzig Elementar- 
zelten (10) zu jeweils einem 20-Zellen- Block (32) zusammcngefaBt sind. 

17. Kryptographie-Prozessor nach Anspruch 10. gekennzcichnet durch eine Verschlusselungseinheit (40), 
einen variabel gestaltbaren Registerblock (46). einer Eingabe/Ausgabeeinheit (44) und einer Hauptsteue- 
reinheit(42),dieuber Datensarnmelleitungen miteinander in Wirkverbindungsiehen (Fig. II). 

Bcschrcibung 

Mil der standig wachscnden Verbreitung elektronischer Verfahren der Kommunikation und der Informa- 
lions-Speichcrung ist die Forderung nach Geheimhaltung. insbesondere der Geheimhaltung wichtigcr Doku- 
mente. wie z. B. BankGberweisungen, Vertrage und dergleichen, unverzichtbargeworden. 

Wahrend das Problem des Daienschutzes in der Geseizgebung bereits eine gewisse Berucksichtigung gefun- 
den hat, sind die technischen Probleme zur Durchfuhrung des Datenschutzes inittels der Geheimhaltung von zu 
Obermittelnden Daten bisher noch hochst unbefriedigend gelost. Die Obertragung von Daten uber Funk oder 
Breitbandkabel erfolgt mehr oder weniger dffentlich. Jedenfalls wird fur die Vertraulichkeit der Obertragung 
keine Garantie ubernommen. Die Gefahr des MiBbrauches ist dabei keinesfalls auszuschlieBen. 

Hinsichtlich der Obertragung von Daten Uber Funk oder Kabel ist diese Gefahr mit technischen Mitteln nicht 
zu beseitigen. Der Benutzer selbst muB fQr die erforderliche Sicherheit sorgen. Hierzu gehort auch die Sicherung 
der Authentizitat des Absenders sowie der Manipulationsschutz der Nachricht 

Aus Sicherheitsgrunden gilt es deshalb, die zu ubertragenden Informationen. Daten. Texte usw. zu verschlus- 
seln. d. It, derartig umzuwandeln, daB ein Unbefugter sie nicht verstehen kann. Dabei kann allgemein gesagl 
werden, daB eine VerschlQsselung urn so sicherer ist, je komplizierter die der Verschlusselung zugrunde liegen- 
den Operationen sind. 

Bei den als klassisch zu bezeichnenden VerschlUsselungs-Verfahren handelt es sich urn symmetrische Metho- 
den, bei denen der Chiffrier- und Dechiffrier-SchlQssel gleicharu z. d. h. identisch oder invers sind Solange der 
diesbezQgliche Schlussel geheim ist. kann die entsprechend chiffnerte Nachricht dffentlich Qbertragen werden. 
Damit aberder Empfanger diese Nachricht verstehen kann. ist es erforderlich.daB dem Empfanger der geheime 
Kodier-Schlussel durch einen vertrauensvvurdigen Boten zugestellt wird. Diese Art der Zustellung des geheimen 
SchlQssels ist umstandlich und zeitraubend, und zwar besonders dann. wenn mehrere Empfanger mit einer 
vertraulichen Nachrichx versorgt werden sollen. Im ubrigen mutet es im elektronischen Zeitalter anachronistisch 
an. Kuriere furdie Obermittlung von geheimen Chitfrier-SchlOsscIn einzusetzen. 

DemgegenQber stellen die Chiffrier-Methoden nach dem sogenannten Public- Key-Code- Verfahren gedank- 
lich einen groBen Fortschritt dar. Diese Public- Key-Code- Verfahren sind durch eine asymmetrische Verschlus- 
selung gekennzeichnet. Das bedeutet, daB zum Ver- und EntschlOsseln zwei verschiedene Schlussel benutzt 
werden. Bei den asymmetrischen Verfahren ist sichergestellt, daB der eine SchlQssel sich nicht ohne Zusatzinfor- 
mation aus dem anderen berechnen laflt Einer der beiden Schlussel kann daher veroffentlicht werden. Aus 
diesem Grunde haben diese Verfahren die Bezeichnung "Public-Key-Code- Verfahren" erhalten. 

Will ein Benutzer der offentlichen Netze mit anderen Teilnehrnern mittels eines Public-Key-Code- Verfahrens 
Nacbrichten austauschen. so muB er ein einziges Mai zwei Schlussel £und Oerzeugen. Den SchlQssel Ezum 
Verschlusseln macht er Gber ein offentliches Register alien anderen Benutzern zuganglich, den Schlussel Dzum 
Entschlusseln halt er geheim. Daruber hinaus werden bei manchen Verfahren auch die allgemeinen Rechenvor- 
schriften der Verschlusselung bekanntgegeben, ohne dadurch die Sicherheit der Geheimhaltung des lnhalts der 
verschlusselten Nachrichten zu gefahrden. Auch ist die Authentizitat der Nachricht kein Problem. Die Sicherheit 
der asymmetrischen Methode beruht darauf. daB es praktisch unmoglich ist, Daus Ezu berechnen. 

Jeder. der einem anderen Benutzer eine Nachricht zusenden mdchte. besorgt sich den SchlQssel Eaus dem 
veroffentlichten Register, verschlusselt damit die Nachricht und ubertragt den so erhaltenen Code im unsicheren 
(gegebenenfalls digitalen) Netz, beispielsweise dem dffentlichen Telefonnetz. Der adressierte Benutzer (Emp- 
fanger) emschliisselt den empfangenen Code mit seinem geheimen Schlussel Dund erzeugt so die ursprQngli .he 
Nachricht Sowohl zur Obermittlung eines SchlQssels als auch zur Obermittlung der Nachricht selbst erubrigt 
sich somit ein sicherer Obenragungskanal. Der adressierte Benutzer erhalt ausschlieBlich Nachrichten, die mil 
seinem eigencn Schlussel verschlusselt worden sind. Daher braucht er nur auf den eigenen SchlQssel D zuzugrei- 
fen. 

Bei diesen Verfahren wird somit eine leichte VerfQgbarkeit der SchlQssel erreicht Ebenso wird der Benutzer 
der Verwaltung eines umfangreichen personlichen Schlusselregisters enthoben. Die Schlusselverwaltung erfolgt 
nur einmal. und zwar zentral im jedermann zuganglichen Register, z. B. nach Art elektronischer Telefonbucher. 
Mit dieser Obertragungsprozedur k8nnen alle Arten von Obertragungsnetzen (z, B. HSDNT sicher gemacht 
werden. 

Bei der beschriebenen AusfQhrungsform des Public-Key-Code-Verfahrens ist noch nicht die Sicherung der 
Absenderauthentizitat sowie der Manipulationsschutz der Nachricht gewahrleistet Prinzipiell ist es aber mdg- 
lich. falschungssichere Tlnterschriften'" in digitaler Form zu Obermitteln. und zwar dann. wenn die Reihenfolge 
der Anwendung der SchlQssel Fund D vertauschbar ist Der Absender kann dann eine Signatur erzeugen. die 
zusammcn mit der verschlQsselten Nachricht Qbertragen wird. Die Signatur ist ein mit dem geheimen Absender- 
schlQssel D verschlusselter "Exlrakf der Nachricht Zur OberprQfung der Absenderauthentizitat erzeugt der 
Empfanger aus der rekonstruierten Nachricht ebenfalls den Extrakt entschlOsselt die Signatur mit dem dffentli- 
chen AbsenderschlQssel £ und vergleicht beide. Sind sie identisch. so muB die Nachricht vom angegebenen 
Absender stammen. da nur der Absender den zum AbsenderschlQssel Epassenden SchlQssel Dkennt mit dem 
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die Signatur verschlussell wurde. 

N^tfZ jS? 1 ? iS ' diC " aci ) tki 2 aUlh VOr Mani P"'a«ioncn gcschiitzt. Der Abscnder kann die uberuaecne 
der eZnKno Tk ' ^ Bc5i,Z einer S '*™ w di « cr Nachricht i„. Andc^Skann 

dcr Empfanger die Nachricht nicht verandern. da er fur die verfalschte Nachrich. kcinc Signatur cr,cuecn kann 
Diesc hangt wegcn dcs Extraktcs n.chl nur vom Absender. sondern auch von der Naehrichl ab II erdurch wird 
en, I hohcrer Schu.z als durch die Umerschrift unier cinem Dokument gewahrleisict 

k£« TIT Pl,b , ,ic - Ke y- C " de Verfahren «« *» «** den Anfangsbuchs.abcn seiner Frlinder 

k.vesi. Shamir und Adlcman bekanme RSA-Verfahren. I>,e Sicherheit dieses RSA-Verfahrens beruh. .larauf 

f In Sir h H H nm0gl,C a h £ Zah ' e " ( * 200 Dezimalstellen) zu faktorisieren. d. h. „e Primzah en z ' 
finden.durchdied.esegroOe Zahl ohne Rest geteilt werden kann. "mzanicn zu 

wtoM^n^™**?^ 1 fo.gcndermaBen : Zunaehst wahl, jeder Benu.z.er des RSA-Systcms zwei 
groBe Pr.m/ahlcn p und q und erne u e.tere groOe Zahl £ Die Zahlen kbnncn z. B. mit dem Zufallszahlen-Gcnc 

urn ene Primzahl handelt odcr n.cht. stchen Algorithmen zur Verfugung (siehe z. B : Pomerance C "Recem 

^^^^f^r nt of Ma,hema,ics - uni ' ers1i ° f Georgia - in -^^a 

■SEJS^'lfSl^f" sch T b, „ eine bestimmte Mindestliinge fur die Primzahlen nich. vor. Kurze Zahlen 
nuchen den Ajgomhmus schneller. vergrdOern aber die Gefahr, daO das Produkt der Primzahlen faktorisieri 
weraen Kann. ae, .angen Zahien is. es umgekehn. iOO Dezimufclellei, werden aiigeu.ci,. a!i 

*anrend die Pnmzahlen p und q ausschlieOlich dem Empfanger einer Nachricht bekanni sind 
Zur Oiiffnening der Nachricht verwandelt der Absender zunaehst seinen Text in cine K ette von Dezimalzih- 

hiffri e rinde m e m W,rd dann G J' eder < N ZCrlegL Diesc Glieder werdenTodann eS 

ch.rfnea .ndem man s.e jeweils >n dte f-te Potenz erhebt und dann modulo N bildet. d h es entstehen die 

tung dcr Zah en ist es crfordcrlieh. thren Exponenten modulo <Z> (N) zu berechnen. wobei <P(M = 

Schiii el D Z f-TIaTSm B K ,Ch d u f Em JP fa "8 er die Primzahlen p und , kennt. kann nur er den Dechiffr er- 
ichlussel D i - E modulo 0(N) berechnen. Zu dtesem Zweck erhebt der Empfanger jede emnfaneene Zahl C 
in die O-te Potenz und reduzier, modulo N. Da C modulo N = modulo N und ED moduKS I e«i£ 
die Operation Pf" modulo N wieder die Zahlenblocke des K lartextes. P 
hlir XU K 1l r r^ a v" k r a ? iSCh " be ^ eichn J e,en Chiffrier-Verfahren zeigen auch die bisher bekanmgewordenen Pu- 
2hS Verfahren 8 ra r lerende Ma "g el Sowohl software- als auch hardwaremaDige Realisierungen 
sche iterten bisher stets an dem immensen Aufwand und den damit verbundenen hohen Kosten 

B» ™? , h™ bc! 16 ?? Cn S i and ^ Ch i P- Emwick '«n8 i« es nichi mdglich. einen Universal-Rechner sof.warema- 
B«g mil dem RSA-Algonthmus (bet z.ugrundelegung von 200 Dezimalstellen) so zu programmieren. daO akzep- 
table Verschlusselungsgeschwindigkeiten bzw. VerschlOsselungsraten erreicht werden. 

I ,v. n c. d ' S S SA -, Flink,i o n (Potenzierung mi , anschlieBender Mod„lr»-Oper,ni 0 n) nicht direkt in ein VI SI- 
ijyou 1 1 V LSI •• Very Large Scale Integration) umgesetzt werden. weil es keine direkten Potenzierschaltunuen 
fta«-! gese .^ derte E J. k *"i«n.s hat bereits seit mehreren Jahren zu dem Wunsch nach speziellen Hardware- 
mZSSJFTi f otenzierun g so in Einzelschritte zu zerlegen, daO eir.e hinreichende VerschlOssel- 

ungsgeschwindtgkeitbzw.-Rate mdglich ist 

SoftiviTi'- bekann "u Realisie 1 ru "S en der Public-Key-Code-Verfahren benotigen aber sehr viel Rechenzeit. 

I fic^!» n L Ver " b2W - En^chlOsselungsraten von 10 bis 20 Bit/sec Auch erste bekannte Hardwa- 

atSa^TSl^^ m - h - 8lS ' 200 ^ it/s , ec - Die einz * e bisher reali «"<= Ein-Chip-Usung stammt von 
S « wr^ J? es "'P t,on of 4 Single-Chip Implementation of the RSA Cipher". Laboratory for 
Computer Sience. MTJ. Cambndge. Massachusetts, in "LAMBDA Magazine I". S. 14-18. Nr. 3. 19801 Bei 
r J*" ee !" e relativ einfache Emwu rf«n«h«»e gewahltdie insbesondere darin bestehtdaD mit 
(ALU! konZl« " an,h , m . et,sch - to g ische ^ > Elementarzelle eine 512 Bit breite arithmetisch-logische Einheit 
Ooemionen^ SLSTf t V™™*™^ 0 ***' Bnhei « is « » '"fg^baut. daO mit ihr sehr verschiedene 
unirsra u ^ von 7£S? Werde J " ^""l* 1 -°' e "! KaU ' g enommene Redundanz schlagt sich in einer Verschlussel- 
ebe 2 urn cVo^T^ "'^ ?" e 4 ^-N^OS-Technologie benu.zt worden (Extrapoliert auf 

e,nCr SCh, ° 5Se, - Unge V ° n 66 ° BhS ^ Versch.0sse.ungsra,e im 

vie?nXSD g rl $ n V n . dW K r8XiS all " di »g s . n «h j t akzeptabel, da die Schnittstellen der digitalen Netze mit sehr 
viel h6heren Datenraten arbeiten. z. B. arbeiten die ISDN-Schnittstellen mit 64 Bit/sec 

dm MfeXK^h!!!? ^ 0g !; aph Jrf ro f eSS ? r L WKhligen worden. der aus zwei Chips besteht. und mit 
L?WU^fS 5 "J? n , 8 | ZaM L n des RSAAlgorithmus aufgearbeitet werden konnen (Rieden. R. F, J. B. Snyder. 
Dii^ff 1 'J- Tw °- Chi P topl«n«»uiion of the RSA Public-Key Encryption Algorithm" 

IT u r J he 1982 Governme "« Microcircuit Applications Conference (Novemberl982l 24i 2 7l 
-F.« Fn^ 16 /, """L 6 R f SA Proz «sor ist mit dem Vorschhg von NEaMiyaguchi gegeben (Miyaguchi. S, 

Zykl J f SffiS C&ST f ° r 'k ^ °3W?ft Sy " em " Pr ° CeedingS COMPCON 8 2 \ E^Spro 
z:yKlus 8 Bits des Multiplikators ab und erreicht dabei eine Geschwindigkeit von 29 000 Bits/sec Da er aber fflr 

voiSSLt? ™^ die hohe AMahl von 333 Chips ben6,i8t - ist er m -««-3wSr iw2!f! 

AnMhfd^ r Ji5^ Na ^ ,ei, ^ r Meh . r - Cni P- , "»Pl«na>tieningen besteht nicht nur in den proportional mit der 
Schelt wt d diet^? ,P ; Sldgenden Hardwar «- K »««. ""km vor allem in der feh.enden Gewahr fOr 
jSSt!?" dle S, « n ! e - d ! e «»» onem zum anderen Chip Obertragen werden, zuganglich sind, so kann 
anhand der Obertragenen Signale der Geheimcode gebrochen werden. Dehalb ist es aus GrOnden der (Crypto- 
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graphie-Sicherheit wesentlich, daB alle Kryptographie-Algorirhmen mdglii *ist von einem einzigen Chip durch 
einen Tresor geschiit/.t werden konnten. 

In der DE-PS 32 28 018 ist ein Schlflsselsystem fur RSA-Kryptographie beschrieben. welches ebcnfalls einen 
extrem hohen Hardware-Bedarf erfordert. Im Vergleich mil dem ursprunglichen RSA-Algorithmus sol) bei dem 
bekannten Schliisselsystem die Verschlfisselungsrate urn den Faktor 4 erhoht werden, was aber nur eine 
bescheidene Verbesserung darstellt. Zu diesem Zweck wird eine fesie Anzahl von vier Bits gleichzeitig verarbei- 
tet, wofflr me^rere Multiptikatoren erforderlich sind, und wofur insgesamt 14 Addierer angegeben werden. 

Theoreiisch ist es zwar denkbar, daB der Prozessor fur das bekannte Schlusselsystem gemaO der DE-PS 
32 28 0!8 vierma! so schne!! wie die direkie Verwendung des urspnTmglirhen RSA-Algorithmus ist. da aber die 
Signalwege sehr viel groBer sind als bei einer Abtastung von jeweils einem einzigen BitTist in der Praxis kaum ein 
effektiver Zeitgewinn zu erwarten. 

Auch ein gedanklich angenommener Universal-Chip mil einer lOOfachen Rechnerdichte ware ubrigens nicht 
in der Lage. den bekannten RSA-Algorithmus abzuarbeiten. Aus diesem Crunde kame, wenn uberhaupt, nur ein 
Spezial-Kryptographie-Chip in Frage. allerdings wurden sich dabei erhebliche KOhlprobleme einstellen, denn 
bei derartig hochspezialisierten Chips wSren - im Umerschied zu Universalchips - samtliche Transistorfunk- 
tionen fast standig im Einsatz. Dies ist mil betrachtlichen Verlustleistungen verbunden, die wegen der angenom- 
menen lOOfachen Rechnerdichte aus eine 100fache(Verlust-)Leistungsdichtezur Folgehaben wurde. 

DaB die damit verbundenen Kiihlprobleme nicht unbetrachllich sind, zeigt der aufwendige Vorschlag, die 
KUhlung mittels verflilssigter Edelgase durchzufQhren. die durch im Silizium-Chip fiihrende Bohrungen hin- 
durchflieBea Andererseits ist zu berOcksichtigen, daB sich als Folge einer ungenugenden Kuhlung cine erheblich 
verkurztc Lebensdauer der Chips und eine erhohte Fehlerquote bei den Verschlusselungsoperationen ergibt. 
AuBerdem wurde der angenommene Universal-Chip mit der hohen Rechnerdichte von den raumtichen Abmes- 
sungen her so groB ausf alien, daB eine praktikable Anwendung auBer Betracht bleiben miiBte. 

Hier greift nun die Erfindung ein, der die Aufgabe zugrunde liegt; ein Kryptographie-Verfahren anzugeben. 
welches bei hinreichender Sicherheit eine so schnelle Rechengeschwindigkeit ermoglicht, daB eine kommerzielle 
praktikable Anwendung des an sich bekannten RSA- Verfahrens moglieh ist. AuBerdem soil durch die Erfindung 
em Kryptographie- Prozessor zur DurchfGhrung des Verfahrens geschaffen werden, der die gestellten Anforde- 
rungen bei kleiner handlicher Bauweise bzw. Chip-Abmessungen ermoglicht. 

Dieses Ziel erreicht die Erfindung verfahrensmaBig bei dem im Oberbegriff des Anspruchs 1 genannten 
Kryptographie-Verfahren durch die im kennzeichnenden Teii des Anspruchs 1 genannten Merkmale, wobei den 
Anforderungen einer digitalen Schnittstelle eines ISDN-Netzes genugl wird. 

Ein wesentlicher Gesichtspunkt der Erfindung ist die neuartige Anwendung eines Look-Ahead-Algorithmus 
fur die Division. Durch diesen Schritt wird es namlich moglieh, ein Look-Ahead- Verfahren auch bei der Multipli- 
kation anzuwenden. Somit sind beim Abarbeiten mehrerer Bits nur einfache Additionen und Subtraktionen 
erforderlich. d. h. ein zusatzliches Multiplizieren kann entfallen. 

Look-Ahead-Algorithmen sind allgemein bekanntgeworden durch die Literaturstelle "Automatic Digital Cal- 
culators' von Booth. A.D.; Booth, K.H.; Academic Press, Inc.; New York, 1 956. sowie durch das Bucb "Logischer 
Entwurf digitizer Systeme* vbn W.Giloi. H. Liebig; Springer Verlag 1980.insbesondere Seiten 177-178. 

Die Vorteile des neuen Verfahrens basieren im einzelnen darauf. daB der gesamte Kryptographie-Algorith- 
mus suksessive so weit in kleinere Schritte zerlegt wird bis jeder Rechenschritt in einfacher Weise direkl mit 
einer Hardware- Aus! egung korrespondiert 

Vorteilhafte Weiterbildungen und zweckmaBige Ausgestaltungen der Erfindung sind in den Unteruispruchen 
angegeben. 

Jeweils bei der GegenQberstellung der einzelnen Operationen zeigen sich bereits die Vorteile der erfindungs- 
gemafleri Anordnung gegenflber dem Stand derTechnik. Durch die Umwandlung des Exponenten-Algorithmus 
in eine Folge von MuUiplikationen, wobei nach jeder einzelnen Multiplikation eine Modulo-Operation ausge- 
fuhrt wird, wird verhindert daB die Zwischenergebnisse nicht. wie bei der Potenzierung ublich. ins Astronomic 
sche an wachsen (D und fhaben je 200 Dezimalstellen). 

Dadurck daB darflber hinaus die Multiplikation in Einzelschritte zerlegt wird, bei der die Multiplikation in eine 
Folge von Additionen umgewandelt wird, kann die Bereclmung schneller erfolgen. So wird zur Realisierung 
auflerdem weniger Fliche auf dem Chip bendtigt 

Die weiter unten erlauterte Reduktion der Modulo-Operation in eine Folge von Subtraktionen wird mit 
derselben Additionslogik berechnet denn eine Subtraktion kann als Addition mit umgekehrten Vorzeichen 
behandelt werden. 

Da die Multiplikation im Ring uber rV ausgefOhrt wird, kann bereits nach jeder Addition cine Modulo-Opera- 
tion ausgefuhrt werden. Auch hierdurch werden groBe Zahlen vermieden und betrachtliche Rechenzeit einge- 
spart samtliche Zahlen jedes Schrittes sind nun kleiner als N. Auf diese Weise wird die maximal erforderliche 
OrdOe des Speicners auf die Unge von Nreduziert was mit einer Halbierung der erforderlichen Chipflache 
verbunden isl 

Au Bct I a rI ,t,,Ch ! Bcde " tun S fflr das Kryptographie-Verfahren liegt in der voneilhaften Anwendung von Look- 
lui I- im g ? m hierdurch wird die maximale Anzshl erforderlich werdender Additionen fur die 

MuUiplikationen und Subtraktionen fur die Modulo-Operationen weiter betrtchtlich reduziert Das sich die 
tinfuhnin^g der Uok-Ahead-Algonthmen in einem Gewinn an Rechengeschwindigkeit auszahlu ergibt sich aber 
erst durch die Einfuhrung der erfindungsgemaBen neuen I ook-Ahead-Algorithmus fflr die Modulo-Operation, 
denn die bio Be Anwendung bekannter Uok-Ahead-Algorithmen auf die MuUiplikationen wOrde keincsfalls 
einen Zeitgewinn erbnngen. Erst wenn dit mittlere Reduktion des mit der Modulo-Operation verbundenen 
Rechenaufwanas der mit der Multiplikation maglichen Rechenrcduktion entspricht ergibt sich ein optHaler 
AlgonUmus, der die Rechenzeit auf etwa reduziert Diese vorteilhafte Einsparung an Rechenzeit hangt mit 
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dem weiter omen noch erlauterten "Schwimmen" zusacnmen: uahrend Z absolut verschoben wird erfotet die 
Der .rune Vorteil in der Keue von Verfahrensschritten besteht in der Verknflpfung der sich aus der Multioli 

Einerseits resulueri ein Zeitgewinn aus den vor(eilhaften Anwendungen von mathematischen Transform,.;,, 
Krvmlt e »Tp nen Ve " ahren » ch ' i «< : - »"derer S ei,s ergeben sich aus der erfind«SSe™ZSSSr £ 
2? n Prozesso r sw : e,,ere Verbesserungen. Durch die Organisation zu baumanigen S.rukTuren kQnnen 

L^&SSSES^ B, ° Ck$,rUk,Ur redUZiert ReChenZCil fSr Cine ^Addition auf die 

5 nw!!lT mtnfa ! Send » fesUustel,en . daB der erfindung 5 gemaBe Kryptographie-Prozessor die Ver- und En.- 

h£ v " C *sm P ,e I menl,er r un ft 1 * a «f einem 16 Bit breiten Bit-Slice-Prozessor (BSP) vergleicht. der'sDezieM auf 

d oM e H r s ^ 

rSi im "™ Zyklus zwei '6-Bit- Worte addieren bzw. subtrahieren und gleichzeitig d« 
K 7 1 B«t verschieben. Etnen Barrel-Shifter haben sie nicht. so daD eine Shift-Operation seriel Uusee 
£h. r^ rT, U0, Ume A rd ;T n Be *W" ha < ™ Look-Ahead negative zeitliche Auswirkungen ffi dfe 

SILl^if yk,e " 2Ur t"! ah r g ^ iner 0pera,ion wird a "g™mmen.daB der BSP fur jeden K, seiner 
Hauptschleife nur einen Zyklus benotigt. Sie besteht aus (vgl. Fig. 3): 

1. Z[i] : = Z[i\ + /»[,] U1 ,d 

2. Z[/j : - Z[/j + _ /VfiJ verschiebe urn I Bit. 

r P ^,tl h f ikr ° Pr T a,nm der r BSP ' s kann s ° ausgelegt werden. daB sich die Schleife auf den zweiten Schritt 
reduziert. wenn der erste aufgrund des Tests des emsprecbenden Bits im Multiplikator entfallen kann Da de 
Ve^lekhfolgT:' 1 e ' nCr WahrSchein,ichkeit ™ -^fuhrt werden muB. hat* einen Wert von 15 FOr den 

JkiAL. - At . Erw(sz) ; L(N) - A 30MHt^ 2,27 660 • 1,5 

Ibst B 10MHz ' 16 — = 421 

«^ Ia V H , 2flrf& hB ^ erfindun p8emaBe Kryptographie-Prozessor selbst spezialisierten Abstimmun- 
noLalen RthenlnbL™ re T*" * ^ GroBenordnungen uberlegen ist. 1st der RSA-Algorythmus auf 
M*™^TiT^ n u sof,w ?: e . n,5Bi g i-nplementiert. kann von Unterschieden im Bereich von '0 000 

VerS^I. / • a -* e Hau P tsch,eif * be* weiten, nicht so effiziem ausgefuhrt werden kann. 
JESSES ■ e,n e an 8s erwahnten Rivest-Prozessor ergibt sich eine SOfache Einsparung an VerschlQs- 

SSpS^^ AnWCndung neuM Verfahrensschritte a.s auch durch eine 

DMl^rX^^V^' P ?l^ T . ilMla 8,5 s ^enann,er Coprozessor. Er besitzt 2 wei 
paraUel Er stent eine 4™ t T - !" bre " en Da,enbui Die Kodier - und die ,/0 -Ein«eit arbeiten 
bSuTwSn kaLnTO™^" "c° X dar ' bei der die Ver " und EntschlQsselungen von auBen nicht 
%£fi*££Z^^^ "»* Wird U " d » d " die ScWteel - ™ versch.0sse.ten 

phEnSZS? mil d^„ e ^ dU n gS8emaB t KW^raphie-Verfahren und der darauf aufbauendc Kryptogra- 
^l2TE5^!Lfi^ to JP^^ d " Pub 'ic Key-Code-Methode von Rivest Shamir und AdlemTn 

Im l« t n Se, K W -: den ' a ? hand eines Ausfuhrungsbeispiels naher besdiriebea 

weS«^r^itr5S? l,t,, T fc .- d r S 'n h o mU dem ^" d «ng^maBen Kryptographie-Verfahren befaBu 
dabd fSSUSSfS^ ^ ?u " 8 oo en ^^-Verfahren gegebenen Modifizierungcn erlautert Deshalb wird 
de? ReaSrunl des TeSSS?" ^ A A, f f rilhmus B ««g genommen. Da das weitere Ziel der Erfindung n 
SSK fvrtShSn. r T m effiz 'i nten VLSILa yo« besteht bleibt es nicht aus. bereits bei der 
SXS^cl ' entsprechenden Hardware-MOglichkeiten hinzuweisen. Insbesondere 

^Sffi2SS.V^ '5 Grund °P era « i0 "™ (Addieren. Subtrahierea Verschieben usw.^zer 
Betrachtunir d« A Umrit K Unm,Ue ' bar '? de " s P at " folgenden VLSi-Entwurf umsetzen laB,. Deshalb spie t die 
K^tt Hardw - ei " Vie.e SchrittfCgen des R P SA-S 

beSen^g^ 
In der Zeichnung zeigen : 
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Fig. ta ein FluBdiagramm cincs Algorithmus fflr die Potenzierung far die Em- odcr Versduusselung cines 
Datums nach dcm ursprunglichen RSA-Verf ahren, 

fig. lb cin nuBdiagramm cines Algorithm us fur die Potenzierung far die Ent- und VerschlOsselung des . 
gleichen Datums gemaB Fig. la nach dcm erfindungsgemaBen Verfahreu, 

fig. 2 cin FtdMtagramm des seriellen Algorithmus Yttr die in Fig. 1 crfordcrlichcMiiltiplikauon, wobei die 
Multiptikanten Elemente der naturlichen Zahlcn sind. 

Fig. 3a em FluBdiagramm des Multiplikations-Algorithmus mit einem zusatzuchen Modulschritt, wodurch die 
Multiplikamen hier Elemente eines Restklassenringes Qber N sind. 

Fig. 3b ein FluBdiagramm gemaB fig. 3a, wobei die Modul-Rechnung auf eir.e Subtraktion reduziert ist 

Fig. 4 ein FluBdiagramm eines Look- Ahead- Algorithmus fur die Multiplikation, der die Look-Ahead-Parame- 
ter seriell bercchnet 

Fig. 5 ein FluBdiagramm eines Look-Ahead-Algorithmus fur die Modulo-Operation, der die Look- Ahead-Pa- 
rameter serieD berechnet, 

fig. 6a ein FluBdiagramm gemaB Fig. lb, wobei die Multiplikation und anschlieBende Modulo-Operation zu 
einem MtUtMod-Schritt zusammengefaut sind. 

Fig. 6b ein FluBdiagramm des in Fig. 6a verwendeteii erfindungsgemiBen MultMod-Verfahrens, ausgefOhrt 
mit Look-Ahead, 

fig. 7 eine Elementarzelle zur Realisierung einer MultMod-Schleife in einem Schritt. 

fig. 8 die Zusammenfassung von vier Elementarzellen gemaB fig. 7 zu einem 4-ZelIen-Block mit einem 
hierarchischen Carry- Look- Ahead (CLA)-Element, 

fig. 9 die hierarchische Zusammenfassung von jeweiis fQnf 4-2el!en-BI6cken gemaB fig. 8 zu einem 20-Zel- 
len-Block, 

Rg. 10 eine vollstandige Verschlusselungseinheit mit mehreren 20-Zellen-BI6cken gemaB fig. 9, sowie mit 
einer Steuereinheit, 
fig. 1 1 das Blockschahbild eines ICryptographie-Prozessors, 

fig. 12 ein Blockschahbild einer Steuereinheit gemaB fig. 10 nach Vorgabe der Look-Ahead-Algorithmen 
gemaB fig. 4 und 5, 

fig. 13 cin hierarchisches Carry-Look-Ahead-Element, wie es bei den 4-Zellen-Bldcken gemaB Rg. 8 zur 
Anwendunggelangt, 

fig. 14 die Verschaltung der Carry- Look- Ahead-Elemente gemaB fig. 13 innerhalb der Hicrarchie der 20-Zel- 
len-Blocke, 

fig. 15 ein Zustandsdiagramm bezuglich einiger SchrittfoJgen des in fig. 10 als Puffer ausgebildeten obersten 
20-Zellen-BIockes, 

fig. 16 eine schematische Blockstruktur zur Verdeutlichung des Informationsflusses, und 
fig. 17 einen Floorplan der Anordnung von Elementarzellen auf einem Chip. 

Unter Bezugnahme auf fig. I wird nachfolgend zunachst der Verf ahrcnsschritt fur die Potenzierung eriautert 
Bei der Zerlegung in einfache Grundoperationcn wird die Potenzierung in durchschnittlich 1,5 • /.(£) Multipli- 
kationen zcrlegt £ist der Exponent und L (x) ist definiert als 

L(x) : •* Anzahl der binaren Ziffem von x. 

Die Zeitkomplexitat des Algorithmus ist 0 (£(£)). Seine Grundidee ist, den Exponenten binar darzustellen, 
also in eine Summe von Zweierpotenzen zu verwandeln. Mit den Potenzgesetzen wird die Summe im Exponen- 
ten in ein Produkt von Potenzen der zu potenzierenden Zahl Pumgeformt Die e-te Potenz hat als Exponent die 
e-te Zweierpotenz oder die Null, je nachdem, ob an der e-ten Stelle im ursprunglichen Exponenten eine I oder 
eine 0 steht Die Faktoren sind also Quadrate bzw. die Zahl 1 . 
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Die Stelle des niederwertigsten Bits wird definitionsgemaB mit Null bezeichnet. Deshalb stent das hochstwer- 
tigste Bit an der Stelle L ( f) - 1 . 

Das (e + l)-te Quadrat laBt sich leicht durch Quadratur des eMen berechnen. Es ist deshalb vorteilhaft. fur das 
Produkt ein eigenes Register Czu reservieren. Der Inhalt von Register Pwird dann in jedem Schritt quadriert 
und wieder darin gespeichert. Nach der Quadratur enthalt Pdas e-te Quadrat, da nach dem (e - l)-ten Schritt in 
P das (e — I )-te Quadrat eingetragen worden war. 

Im Zwischenregister C steht zu Beginn die I. Stern im Exponenten Fan e-ter Stelle cine I, so wird im e-tcn 
Schritt Cmit Pmultipliziert und wieder darin gespeichert, andernfalls wird Cnicht verandcrt. Da das Register P 
zu diesem Zeitpunkt das e-te Quadrat enthalt. wird das obige Produkt, wegen der Gleichheit. P hoch E 
berechnet. Nach dcm letzten Schritt steht das Ergebnis im Register C 

Das im FluBdiagramm der fig. la dargcsiellte RSA-Verfahrcn enthalt im oberen Teil den Potenzicralgorith- 
mus. Im unteren Teil der Fig. la wird im letzten Schritt Cmod N bercchnet, d. h. der Ictztc Schritt des R AS- Al- 
gorithmus. Weil auf die Rcstklassenarithmetik wahrend der Potcnzicrung vcrzichlct wurde. hat Cbei groOen 
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Zahlen cine astronoimsche Stelienzahl angenommen. 

Dies verhindert dec in Fig. lb dargestellte Algorithms dcs erfindungsgemafien Yerfahrens. Er nutit das 
Kongruenzgesetz 

(a mod c) «k • b) mod c 5 

Das jcweils entstehende Produkt wird durch die Modulorechnung auf den Reprasentanten der Restklasse 
abgebildet Der Reprasentam ist das Element der Restklasse, das auch Element des Ringes ist Dieses Element ist 
eindeutig, <Lh.es gibt nur ein Element in jeder Restklasse, das die Bedingung erfullt 

Bezogen auf den Algorithmus bedeuten , 0 

a, b Produkte aus dem Schritt e — 1, und 
cder ModuL 

Die Aussage der itongruenz ist: das Ergebnis der Rechnung im Schritt e fallt in dieselbe Restklasse, 1 5 

a) wenn man die entstandenen Produkte aus dem Schritt e — 1 auf ihre Reprasentanten abbildet un<? iann 
im Schritt edie Reprasentanten miteinander multipliziert oder 

b) wenn man im Schritt e die Produkte aus dem Schritt e — 1 miteinander multipliziert und dann dieses 
Produki auf seinen Reprasentanten abbildet 20 



Der Fall a wird im rechten Algorithmus (Fig. lb) bei jedem Schleifendurchlauf auf die Produkte angewandt. 
Der Fall b ist im linken Algorithmus (Fig. la) realisiert, allerdings nur ein einziges Mai als letzter Schritt des 
Algorithmus. Durch die standige Abbildung haben die benutzten Register im rechten Algorithmus eine planbare 25 
GroBe bekommea Die Zahlen, die sie speichern mOssen, sind maximal doppelt so tang wie die Lange des 
Modulus. Dies ist der Fall in dem Zeitraum zwischen Multipfikation und der Modulorechnung. 

Die einzelnen Schritte des umgeformten Algorithmus lassen sich auf der Ebene der Potenzierung nicht weiter 
zeriegen. Es besteht auch nicht mehr die Notwendigkeit dafur. Die Chip-Flache, die die Potenzierung benotigt, 
hat durch die standige Modulorechnung eine obere Grenze erhaltea 30 

Nachfolgend wird nun unter Bezugnahme auf Fig. 2 der Verfahrensschritt fur die Multiplikation erlautert Bei 
dem erfindungsgemaflen Verfahren wird die Multiplikation durch einen seriellen Algorithmus gelost Er zerlegt 
die Multiplikation in L(M) Shift-Operationen und durchschnittlich 0,5 • L{M) Additionen. Mit W ist im 
folgenden der MuUiptikatorbezeichnet 

Der Platzbedarf hangt linear von L (Afl ab, denn fur diesen Algorithmus ist eine Arithmetik-Lodic-Unit (ALU) 35 
der GroBe L(M) vorgesehen, so daB die Addition in einem Schritt geschieht. Das gleiche gilt dann auch fur die 
Shift-Operation. Beide benotigen daher eine konstante Zeit fur ihre Operation. Zudemkann die Addition parallel 
zur Shift-Operation ausgefuhrt werden. Daraus folgt fflr die Zehkomplexttat 

7W« t(M)*max(7sft*for^ - c#L(Afl. 40 

Sie hangt, wie der Platzbedarf, linear von der Lange von M ab. Wenn der bendtigte Platz allerdings die 
Moglichkeiten der Integration Gberschreitet, dh. M und damit L(M) einen bestimmten Wert Qbersteigu ist 
dieser Algorithmus nur in modifizierter Form verwendbar. Da dies bei der ins Auge gefaCten GroBe von 660 
Binarstellen (200 Dezimalstellen) nicht der Fall ist, wird dieses Problem in diesem Ausfflhrungsbeispiel nicht 45 
diskutiert 

Der in Fig. 2 als Flu&diagramm dargestellte serielte Algorithmus fur die Multiplikation baut, ahnlich wie der 
vorher a nhand der Fig. t beschriebene Algorithmus fflr die Potenzierung, auf der Binardarstellung eines Einga- 
beparameters auf. Hier ist es der Multiplikator M: 



uv> 1 urn 
" 0 m 1 

55 

Die Multiplikation wird in Additionen zerlegu Pwird im Schritt m zum Zwischenergebnis Zaddtert, wenn an 
der (L(M) — m)-ten Stelle im Multiplikator eine 1 steht, andernfalls bleibt 2 unverandert. Danach wird die 
Schleife noch (L(M) — mj-mal ausgefuhrt. Wegen der Verdoppelung von Zzu Deginn jedes Schleifendurchlaufs 
wird die Summe Z +• Pdes /n-ten Schrittes [L[M) — m)-ma1 verdoppclt. Das emspricht der Multiplikation mit 60 
der Zweicrpotenz. 

Zusammenfassend nutzt der Algorithmus aus. daB eine Multiplikation mit einer Binarziffer entweder den 
Multiplikanten selbst oder Null ergibt Weiterhin fOhn er die in jedem Schritt erforderliche Multiplikation mit 
einer Zweierpotenz auf eine Verdoppelung von ZzurOck. In der Binardarstetlung ist die Verdoppelung eine 
einfache Shift-Operation um ein Bit nach links (definilionsgemaB steht das niederwertigste Bit rechts). 65 

Der Modulo- Verfahrensschritt ist schematisch in Fig. 3 dargestellt Wahrcnd der Potenzierung ist nach jeder 
Multiplikation eine Modulo-Operation aus/ufuhren, um eine zum Produkt kongruente Zahl aus dem Restklas- 
senring zu erhaltcn. Der in Fig. 2 beschriebene Algorithmus betrachtct die beiden Multiplikanten als Elemente 
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dcr natOrlichen Zahlen, nicht des Restklassenringes Obcr rV. Deshalb wird im Potcnzieralgorithmus nach jedcr 
Multiplikation ein Moduloschritt ausgcfflhrt 

Nach dem erfindungsgeraaBen Vcrfahren wird audi die Multiplication in diesem Restklassenring ausgefuhrt 
Dafur wurde der herkdmmliche Algorithmus an ciner Stelle verandert: Am Ende der Schleife wind das Zwi- 
5 schcnergebnis Zauf sebien Reprasentanten abgebildet 

Das ist notwendig, wcil Zcrstcns verdoppelt und zwcitcns P(im ungtinstigsten Fall) zu ihm addicrt wurde. 
Deshalb kann Zam Ende der Schleife Werte haben, die groBer oder gleich des Modulus N sind. 

Wird "dagegen zum SchluB noch ein Moduloschritt hinzugefGgt, hat Znach dem Verlassen der Schleife immer 

ur ^ j;_ :_ *t~i_i — L A*.,- d:~~~,- i: n r\~- ir »_ j t...L4 -i w_j..i_ 

vvciLC uic mi cuauuiui caiin-uwtiwiwi >\i«*gw 1ik.5t.tL w<u t\u»gi uciixgcicu, u<tt ci CUO.UUL, uai muuuiir 

10 schritt vom Potenzieralgorithraus in den Mutliplikationsalgorithmus zu verlegen, lautet 

(a mod c) + (b mod c) s (a + 6) mod c 

Wie bei der Potenzierung ist auch hier die Aussage der Kongruenz: das Ergebnis der Rechnung im Schritt m 
15 fallt in dieselbe Restklasse, 

a) wenn man die entstandene Summe im Schritt m — 1 auf Diren Reprasentanten abbildet und dann im 
Schritt m mit diesem weiterrechnet oder 

b) wenn man im Schritt m zu der Summe a us dem Schritt m — 1 etwas addiert und dann diese Summe auf 
20 ihren Reprasentanten abbildet 

Da die Multiplikation in eine Summenfolge umgewandelt wurde, lautet der SchluB: Es ergibt das gleiche 
Ergebnis, zwei Zahlen zu multiplizieren und dann die Modulo rechnung auszufuhren, oder nach jeder Addition in 
der zerlegten Mutliplikation sofort Modulo zu rechncn. 
25 Das Zwischenergebnis Zdes in Fig. 3a dargestelhen FluBdiagramms kann in der Schleife nicht beliebig groBe 
Werte an nehmen, wenn es beim Schleif eneintritt einen kleineren Wert als N hatte 

rV>£P->.AV>Z:«2.Z+P. 

30 In dem erfindungsgemaBen Verfahren ist die herkdmmliche Modulorechnung durch eine einzige Subtrakuon 
ersetzt 

Wenn Zam Ende der Schleif* groBer oder gleich N ist, wird lediglich A/bzw. 2 N von Z subtrahiert, und der 
Wert von Zist wieder kleiner als N. Diese Schritte sind im FluBdiagramm der Fig. 3b enthalten. 
Fur die Subiraktion wird keine^usatzlich Logik bendtigt, denn nach der Negation des Subtrahenten wird sie 
35 zu einer Addition und ist mit der Aoditionslogik berechenbar: 

a + b~ a + (-6) 

Eine Zahl wird negiert, indem jedes einzelne Bit negiert wird Dazu muB abschlieBend noch die Zahl ! addiert 
40 werden. Das ist im VLSI-Entwurf mit einem Inverter pro Bit realisierbar. Da jedoch in der Speicherzelle beide 
Informationen vorliegen, das Bit und das invertierte Bit, wird auf einen zusatzlichen Inverter verzichtet 

Bet der Addition zweier Zahlen wird an die niederwertigsten Bits kein Obertragsbit (Carrybit) Qbergeben. Soli 
nun subtrahiert werden, werden die negierten Speicherbits art die Additionslogik angelegt und gleichzeuig wird 
den niederwertigsten Bits ein Carrybit signalisiert 
45 Dieser Verfahrensschritt, der die Multiplikation mit der Modulo-Operation in erfindungsgemaBer Weise 
miteinander verbindet, wird im folgenden MultMod genannt 

Die Erhdhung der Rechengeschwindigkeit durch Look-A head- Verfahren laBt sich anhand von Fig. 4 erlau- 
tern. Anulysiert man den Mult Mod- Algorithmus und bedenkt die M&glichkeiten der Parallels ierung. so ergibt 
sich. daB viele Schritte umsonst ausgefuhrt werden. Genauer gesagt, ganze Schleifendurchlaufe (Zyklen) konnen 
so cntfatlen. wenn auBer den beiden ersten, unabwendbaren Schrttten keine der bedingten Schritte auszufQhren 
sind. 

Emfallt ein Zyklus, dann wird kein Schritt der Schleife ausgefuhrt, auch die unbedingtcn nicht. Dies muB bei 
dem nachsten, nicht ausgefallenen Zyklus bedacht werden. Zuerst muB jedoch berechnet werden, wieviel Zyklen 
ilbersprungen werden kfcnnen. Sei nun sz - I die Anzahl der Uberspi ungenen Zyklen (Vist der Schicbebetrag 
55 (Shift- Betrag) der Multiplikation und behalt im folgenden diese Bedeutung). Mil dieser Information kdnnen die 
ersten beiden Schritte der Ubersprungenen Zyklen im jetzigen Zyklus mitausgefQhrt werden {sz — 1 flbcrsprun- 
gene Zyklen plus dem aktuellen Zyklus ergibt sz Zyklen !): 

1. Zwird nicht urn 1 Bit (Verdoppelung), sondern um sz Bits nach links verschoben und 
60 2. m wird nicht um t.sondern Mm szcrhObt, 

Das Verschieben um sz Bits ist mit einem Barrel-Shifter in einem Schritt machbar (Conway: U Mead.C 
Introduction lo VLSI Systems, Adison- Wesley Publishing Company. Inc. 1980). 

Mcthodcn. die es ermoglichen. Uberflussige Schritte zu Qberspringea werden Look-Ahead (vorausschauendc) 
t>s Verfahren genannt. Solche Verfahren mussen nach sorgfaltiger Analyse filr jcden Algorithmus getrennt entwor- 
fen werden. Es muB vor allem gepruft werden. ob der zu erwartende Zcitgewinn groQer ist als die Zeit zur 
Berechnung der ubersprtngbaren Zyklen. Bei dcr angestrebten Hardwarc-lmplemcntierung des gesamten Algo- 
rithmus wird der Zcitgewinn durch nichts gcschmalert. da die Berechnung der Look-Ahead-Parameter parallel 
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zum langsten Schritt. dcr Addition, geschieht 
Fur die MuUiplikation 1st sen langem ein Look- Ahead- Algorithmus bekannt Er hat zwei Zustande: 

1. LA - 0, Nullen im Multiplikator werden uberlesen und 

2. LA « I . Einsen irn Multiplikator werden Gberlesen. 5 
Die Schrittfolge des Algorithmus lautet: 

1. Setze sz : = I. 

2. Setze .77 : « m + 1. io 

3. Setze a : = 1 — 2 ♦ LA 

4. Es wird der 3-Bit-String M[L (M) — m.L (M) — /n — 2] betrachtet Solange nicht fertig, fuhre in Abhan- 
gigkett vom 3- Bit-String und dem LA- Wert die in der Zeile stehende Regel aus. 



LA=0 


LA = 


000 


111 


001 


110 


OI0 


101 


OH 


100 


100 


011 


101 


010 


110 


001 


111 


000 



sz : = sz +- 1; m: =m + 1. 

sz :=sz + 1; m: = m+ I. 

I; m: =m + 1. 

LA: = 1-LA; Fertig. (fl. HI) 



Unmoglich! 
Unmdglich! 



Fertig. (I, IV) 20 
Fertig. (I IV) 



5. Im MultMod- Algorithmus ist auszufuhren: 

a. Schiebe Zum sz Bits nach links. 

b. SetzeZ : =* Z a * P. 

30 

Die rdmischen Zahlen in den KJammern hinter der Tertig"-Anweisung beuennen die Regeln dieser Zeile, die 
erste Zahl stent fur LA = 0 und die zweite fGr LA = 1, Die 3-Bit-Strings. hinter denen TJnmogHch" stent, 
konnen nicht auftauchen, da bei ihnen bereits im Schritt davor die Regel II bzw. Ill zur Anwendung gekommen 
ware. Die Variable "a'dient nur als Zwischenspeicher fur die Information, ob Pbeim Additionsschritt negiert 
wird oder nicht In diesem Schritt Findet in der Implementierung keine Multiplikation statt, da a nur die Werte 35 
+ 1 und — 1 annehmen kann. Das Verschieben von Zund die Erhohung von w ist vorher schon erklart woiden. 

Die Look-Ahead-Regeln lassen sich leicht mit Hilfe der Summenzerlegung der Multiplikation verstehen. Sie 
lautet 



40 



45 

Vsotl in den folgenden Rechnungen die Stelle relativ zu L{M) — m bezetchnen, an der im Multiplikator, von 
der Stelle L (M) — m — 1 an gerechnet das erste Bit ungleich LA steht 

Regel I besagt. wenn in einem O-String eine isolierte 1 steht, dann addiere an dieser Stelle Pzu Z Mathema- 
tisch ausgedrflckt: 

50 

mfi 

55 



Die Summanden der zwehen Summe sind Null auBer dem Wert Lambda - m + s, da an den Binarstellcn 
L(M) - m ~ 1 . . L(M) - m — *des Multiplikators 00 ... 01 steht 

Rege) II ist am einfachsten im Zusammenwirken mit Regel HI zu versttnen. Regel II schaltet von ein em go 
O-String auf cinen t -String urn, wenn auf die erste 1 mindestens noch cine zweite foigt. An der Stelle der letzten 0 
wird Pim Zaddiert Regel III ist zu II dual. Sie schaltet von einem 1 -String zu einem 0-String urn, wenn auf die 
erste 0 mindestens noch eine zweite folgt An der Stelle dcr letzten 1 wird P von Zsubtrahiert Sei s 1 die Stelle 
der erste n I und sO die Stelle dcr ersten darauf folgenden 0. beide relativ von mgerechnet, so ergibt sich: 



« 
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A i 1 a •«■»! 

- 2 /JV, -,Z+0+ J .j"" 1 - 

• f I - I 

j o 

- 2 Ul " ■ #z + 2 Lfu} , — «°* '» » (2'° ■« - j) 
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Ausder letzten Zeilc folgi direkt Regel II und III. Die Stellen zwischen den beiden Umschahpunkten braucher 
nicht beachtet zu werden, vorausgesetzt allc sind 1. Ein Beispiel soli dies anschaulicher machen. 

o 

2 - 3 - 60 = |80 

II ■ 001 1 1100 = 101 10100 

* * 

""1 *0 L (M) - 8, m = I . jl = 2, .*0 - 6 

L(M)-m-sl..L{M)-m-sl + I =5.2 
/. (M) - m - si + 1 =6 
3 - (32 +16 + 8 + 4) = 3 • (64 - 4) - 180 

Man span zwei Addiiionen (somit zwei Zyklen), wenn man nichl ein Bit des Mulliplikators nach dem andcrer 
j5 abarbeiiet. sondern I -String als geometrische Summe betrachtet, die Summe berechnet und die unwesentlichen 
Bits uberspringt. 

Bleibt noch Rege! ! Y. Sie besagt steht in einem 1 String cine isolierte a danr. subtrahiere an dieser Sieile Pvon 
ZEs ergibt sich: 

m + i- I 

- 2 t,w, -"*Z+2>. 1 •2"«-' + 0 

i'm+i 
m+j- 1 

= 2 IM "-" . 2+ I .2 Uw » - + |»,(2««-«-*-2W«--»-n 

- 2 / - ,w, -' n • 2+ £p* 1 • 2"*'"' " P* 2 Livi ' lm * s) 

55 

Aus der Sicht des Look-Ahead Verfahrens sieht es nach der Subtraktion von Pan der Stelle L (M) — (m + s) 
so aus. als sei der I -String nicht unierbrochen. Der Look-Ahead kann fortgesetzt werden. 

Mit dem im FluBdiagramm der Fig. 4 dargestellten Look- Ahead- Algorithmus fQr die Multiplikation, der die 
eo Parameter seriell berechnet. ist gegenQber der Version ohne Look- A head kein Zeitvorteil zu erreichen. denn pro 
Zyklus kann nur ein Bit des Muhiplikators getestet werden. Dieses FluBdiagramm dient daher auch nur der 
Umsetzung der Regeln in einen funktionierenden Algorithmus. Andererseits ist dieser Algorithmus fQr die 
Hardware-Implementierung vorgesehen. jedoch geschiehtdann die Berechnung der Look-Ahead-Parameter in 
einem Schritt parallel zu den Operationen anderer Rechenwerke. so daB am Ende eines Zyklus sofort die 
65 Parameter f Or den nlchsten bereitstehen. 

In diesem Algorithmus kann der Shift-Betrag sz maximal den Wert cur k annehmen (cur k ist der "Name" 
ciner Variablen). Der Shift-Betrag gibt die Anzahl der Stellen an. urn die ein Register verschoben wird Ein 
Maximum des Shift-Betrages wird von der Theorie nicht gefordert. wohl aber von der Praxis. Der Barrel Shifter. 
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von, noch zu en.werfenden Modulo- Loo™^^^^'™ ^ ^ V °" " ird 

Kos.en- und Pla.zgrunden in mehrere ««SSwe22 wiSr WenTr^*"" AfbcU mu0 ^ 

schendcn Forderungen der GeschwindigkeitssVe ta^Z?jT * em gunst.ger KompromiB zwi- 
ri-.-m, der (olgenden A bschniue gek| , ^ ( ,g,cen5s,e, 8 eru ''8 ""d *r Reduz.erung des benS.igien Pla.zes hu wird in 

der Multiplikation durch Look-Ahead v,en J Jenn nich, ^hX n ' tt BefUndene Verb «*™g 
gung von Look-Ahead-Parame.ern cinee/L^veX , k™ £, 1 h Modul ? sch . r '" «»* Methode zur Erzeu 
Ablauf.da er nach wie vornur M^^&M^t^S, "vTl^ Modu,oschri « *n gesam.en 
kung unterworfcn. Der Erwartungswen de Shift He.™ 7 w Verf ? l hren ' S ' aut,crde '" ™er Einschran- 
demdesMul,iplikations-Algori hlT fsTdl 2 de ^K W ^"^"fhf^d Obereinstimmen mi, 

Der erfindungsgemaBe AlgoriZu der die iforH™ »T L ° ok - Ah "d-Algori,hmus den anderen. 
einem Algorithms wanSht ta t naSS^S^T^T ^ U " d die genanmen R< * e '" » 
Algorithms ausdenselben C?I JTdl^&^H^ WiC ZUV ° r ' aUeh dicscr 
Eigcnschaften wie der Uok-Ahead-A.^,^^ hat » *■*«. 

beS* 5^.^ da ° d * Erwanungswer,, 

jedem Zykluf um ein BU nack blinks "^^ll^Z ^^T ^" wurd < " nich « verschoben: Zis. in 
seine Position bei. Dagegen wirt das L~k AhZ Verf K A ' rel . a,,vdazu um e,n B " ■»«* rectus, d. h. A/behie!, 
wieviel Bits N relativ f „TnS . rechu ™ vmchtbe„1« " -T rTT 7 generieren - d " "m 
Modulo-Look-Ahead-AlKorithmus und v Z^T* • L , * "V fo, S enden d «" aktuelle Shift-Betrag des 

^Mod-Schleife^^ 

^t^Z^aZ^^ £ ^"-ng des maximal Snift-Betrages von Zzu sehe, «r * 
M4XaanimmL ungunst ' gsten Fa » (« - cvrj und » = 1) des nachsten Schrittes n gerade den Wert 

™.c^ von de„ eingesetzten Regeln. da3.it 

•m allgemeinen nicht tSaSSSZS^i H-SS^i ** S,Ch d ' C Mult, P likation und d * Modulorechnung 
Fall . oder Fall 3 der SS^XXS «?J Z^ S^ TVV^ ° ben auf 8 e f" b ™n 

Register groBere Zahlen als die cL kL£i! L ■ T ? nach oben ^J?" 2 ' w,rd Ein Nach,eil ««• da" die 
Puffer vofgesehen werden Pe ' ehern mQ$Sen - FOr diesen 0berlauf ™ B im VLSI-Emwurf ein 

Puffenausgehen.We.cheC XoeErP SX&p" Gr6 ° en a,ler R ^ StCr U " d " Un auch des 
einem folgenden Abschnitt besprochea ^^"''^^^"^rtenichtzusehrsinken.wirdin 



Der Algorithmus lautet: 

I.Setzejfl: - 0. i 
2.Seue6 : - 0. 

b.sctzcn: - n -lund 

cschiebcZOiViiml Bit nach rcch^dh.dividi crc ZD,VdurchZ * 
HSz^i: Z{y ° mkh ^ - L Wen " - Vorzeichenbit den Wen 0 ha. dann ist Zpositiv, andem- 
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5. Im MultMod-Algorithmus isi auszufQhren: 

a. Schiebe N urn sn Bits relativ zu Znach rechts und 

b. seize Z : « Z + 6 • A/, d h. wenn Zpositiv ist. dann wird N von Zsubtrahiert, andernfalls wird A/zu 
Zaddiert 

Im letzten Sehritt wird in der Hardware-lmplemcntierung nichl multiplizieruda b nurdie Werte — 1,0 und + I 
annehmen kann: An die Additionrlogik wird der Wert - A/, 0 oder + N angelegL Die Berechnung von ZDN 
bereitet auch Xeine Schwierigkeiten. denn ZDN wird nichl jedesmal neu berechnet. sondern nur ein einziges Mai 
bei der SchlusselQbergabe und wird dann derselben Shift-Operation untcrworfen wie N So bleibl die Relation N 
zu ZDN' ciiiuhcn. . 

Nach der Schlusseliibergabe mufl ZDN jedoch berechnet werden. Zwei Drittel bina> dargestellt sind 
0.101010101. . Die Berechnung von ZCWgeschiehtdemnachso: 

I.SetzeZ : = 0. 
ZSetzeZ : » Z+ N. 

3. Schiebe Zum 2 Bits nach links. 

4. Springe zu Schrilt 2 zuruck, wenn ZDN noch nicht genau genug berechnet ist. 

Der Iri7»p Schritt enthalt eine unscharfe Abbruchbedingung. ZDN ist gsr.au bestimrnl, v/enn jedes Bit dcs 
Multiplikalors "Zwei Dritter abgearbeitet ist. Die Anzahl der Bits von "Zwei Dr'uiel". die noch einen EinfluB auf 
den Vergleich von Zmit ZjDA/habea ist dieselbe. wie die Anzahl der Bits, die der Komparator hat, der den 
Vergleich durchfuhrt. Die Breite des Komparators wird wiederum durch die verlangte Genauigkeitdes Verglei- 
ches bestimmL Wie im nachsten Abschnitt gezeigl wird, sind 10 Bits mehr als ausreichend. Daraus folgt, daB 
ZDN in wenigen Schritten berechnet werden kann. 

Wie geradc erwahnt, werden von ZDN nur ein paar der hochstwertigsten Bits zum Vergleich mil Z benutzt. 
Dies bewirkt natiirlich, daB der Komparator ab und zu ein falsches Ergebnis liefert, denn ein hundertprozentig 
sicherer Vergleich miifite alle L{N) Bits berucksichtigen. Dies ist aus Platzgrunden nur schwer zu realisieren. 
Was aber viel schwerer wicgt. ist die Tatsache, daB die Vergleichszeit dann Shnlich groB wird wie die normale 
Additionszeit Der korrekte Vergleich ware also ein Phyrrussieg. 

Welche Auswirkungen hat es aber, wenn der Komparator eine falsche Entscheidung getroffen hat? Dann hat 
sn im nachsten Zyklus den Wert 1. andernfalls hatte sn einen Wert grdBer als 1 gehabt. Es verschlechert sich 
demnach deraktuelle Shift- Be trag des nachsten Zyklus auf den Wert I. Beweis: 

Wenn der Komparator richtige Ergebnisse geliefert hat. dann ist sn so bestimmt worden, daB 

2 ...l.iv<|zl<r"- ".|.n 

ist. N wird nun urn sn Bits nach rechts verschoben, d. h. N wird durch 2 hoch sn divtdiert. Dann wird N. wenn Z 
negativ ist. zu Z addiert, andernfalls wird N von Z subtrahiert. Daraus folgt, daB N vom Absolutwert von Z 
subtrahiert wird. Das Ergebnis wird wieder in Zabgespeichen. 



y * N~N<\Z\~N<j *JV-N 
3 3 ' 

0 =>|Z'|<y *N. 



Da der Absolutwert von Zjetzt kleiner gleich einem Drittel von Nist, muB im nachsten Zyklus sn > I sein: 
|Z|<i.,V<«>|Z|<2- | ,|,/v = 2'.Z&V«>w>L (2) 



Teil 2 ist damit bewiesen. 

FSIIt dagegen der Komparator eine Fehlentscheidung, ist die Ungleichung I nicht erfQHt Eine Fehlcntschei- 
dung wird z. a dann getroffen. wenn ZDNdurch Rundungsfehler bei der Berechnung etwas kleiner geworder. ist 
als zwei Drittel von N Liegt Zdann in der Nahe. aber noch nter von zwei Drittel von N, ist die Vergleichsaussa- 
ge: ZDN ist kleiner als Z Tatsachlich jedoch hatte diese Aussage ersi eine Bitstelle spatcr erfolgen mQssen. 
Daraus folgt: 
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Die Voraussetzung { I ) ist nicht mehr erfOlh. Es folgt 




♦ ZDN = >sn = I -qed 



Die Auswirkungen eines Fehlers des Komparators sind also relativ harmlos. Das gibt dem Designer einen 
weilen Spielrs.um in der Wahl der Komparatorweite, denn eine geringc Breite erhoht durch fehlerhafte Verglei- 
che nur di* Zyklenzahl, verfalscht aber nicht die Rechnung. So kann ein Komparator geringer Breite entworfen 
werden, der zwar hauriger irrt, aber aufgrund des sehr schneil vorliegcnden Ergebnisses troizdem noch einen 
Geschwindigkeitsgewinn bringi. 

Fur diese Abwagung muB die Fehlerwahrscheinlichkeit bekanni sein. Ein Fehler ereignet sich entweder durch 
Rundung im leizten Bit von Z£Woder in Bits, die niederwertiger sind als das niederwertigste Komparatorbit. Sei 
"c/"die Komparatorbreite.dann ist die Fehlerhaufigkeit Epsiton 



Anschaulich formuliert besagt der Ausdruck, daB nur dann ein Fehler eintrcten kann. wenn alle hoherwertigen 
Bits den Vergleich nicht entscheiden konnten. Das ist bet einer von 2 rf Zahlen der Fall 

Da ausschlieBIich die wahrscheinlichkeitstheoretischen Erwartungswerte der Look-Ahead-Verfahren uber- 
einstimmen, warden sie notwendigerweise durch den MultMod-Algorithmus voneinander entkoppeh. Dabei 
wird in jedem Zyklus Z absolut und N relativ zu Z verschoben. Diese Entkopplung wird hier "Schwimmen"' 
genannt und nachfolgend im Zusammenhang nut rig. 15 naner erlautert. 

Der Zustand in dem sich der Kryptographie-Prozessor jeweils befindet, ist anhand der Schritte a bis e in 
Fig. 15dargestellt Die GbergBnge a, cund everdeutlichen den Verschiebevorgang. waiirend 6 und d nicht naher 
erlauierte Additionen Oder Subtraktionen bedeuten. Die gezeigten Rechtecke (Tiirme) reprasentieren die Regi- 
ster C(!4). N (18) und Z(20, 22, 24; Register des Kryptographie-Prozessors). Die Hdhe der Rechtecke betragi 
660 Bits + 20 Bits. 660 Bits ist die maximate WortUnge, und 20 Bits ist die GrdBe eines Puffers, der die Entkopp- 
lung ermdglicht 

Wenn beispielsweise der Schiebebetrag (Shift-Betrag;GroBe der Verschiebung) der Multiplikanon groBer als 
der Schiebebetrag der Modulo-Operation ist, wird das Register Mum die Differenz der Schiebebctrage zum 
oberen Ende geschoben (vgl. Schritte a und e);die obersten Bits des Registers N werden somit teilweise in den 
Puffer hineingeschoben. 

Im umgekehrten Fall wird N zum unteren Ende geschoben (Schritt c\ Die Oberwachung.daB N nicht aus den 
Puffergrenzen hinauslSuft, wird weiter unten noch naher erlautert 

Vor dem Schritt a sei Nbereits urn 10 Bits in den Puffer geschoben worden. Der Schiebebetrag sz nimmt dann 
die Werte T, "I" und T an, wie unten in Fig. 15 zu erkennen ist. Dabei werden die genannten Werte in diesem 
Beispiel nacheinander angenommen. Der Schiebebetrag si, welcher die Verschiebung von N relativ zu Zfestlegt, 
nimmt hier nachein?nder die Werte T, T und V an, das bedeutet, daB absolut gesehen urn sn « sz — si 
verschoben worden ist, also ist sn nacheinander"!*, *— T und "1" Nach den Schritten a, cund e ist N jeweils urn 
11.9 bzw, 10 Bits in den Puffer verschoben worden. Dieser Vorgang stellt das dar. was weiter oben mit dem 
Begriff "Schwimmen" bezeichnet wurde. 

Im Schritt c ist der EinfluG der Look-Ahead-Grenze k fOr den Fall von k « 3 verdeutlicht. Obwohl der 
Algorithmus fGr si eine Verschiebung urn 4 hitte vornehmen k6nnen. ist W relativ zu Znur urn 3 Bits verschoben 
worden, und im Schritt c dann urn 1 Bit Daher ist N im Schritt d von Z weder addiert noch subtrahiert. Das 
bedeutet also, daB das Vorzeichen 6 in Ftg. 5 den Wert "0" angenommen hat 

Nachfolgend wird der Verfahrensschritt der 3-Operanden-Addition erlautert Die Fig. 6 stellt das komplette 
RSA-Verfahren (Fig. 6a) dem nunmehr vollstandigen Ausfflhrungsbeispiel des erfindungsgem§Ben Kryptogra- 
phie-Verfahrens gegenOber (Fig. 6b). 

Hier sind die Abfragen, die in der ietzten Fassung des MuhMod-Algorithmus (Fig. 3) noch enthaUen waren, 
durch die Aufrufe der beiden Look-Ahcad-Algorithmcn crsctzt Die Berechnung der Look- Ahead- Parameter 
geschieht parallel. Das soli durch die parallel en Zweige, in denen die Aufrufe stattfinden, ausgedruckt werdea 

In dieser Version des Algorithmus kann in Zein negativer Wert stehen, nachdem die Schleite abgearbeitet 
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worden ist. Deshalb muB zum SchluB im MultMod-AJgorithrnus mit Look-Ahead cine Ergebniskorrektui 
vorgenommen werden- SoUte Znegativ sein. dann ist Z -r N posiriv. Dieser Zusatzschritt ist ira FluBdiagramm 
von Fig. 6b enthaltea 

Der Multiplikations- und der Moduloschritt sindauBerdem zu einem einzigen Schritt zusammengefaBt wdr- 
den, der 3-Operahden-Addiuon. Es werden von der .Logik pro Schritt nicht zwei, sondern drei Operanden 
gleichzeitig addie^ t, wiedies nachfolgend zu erkennen ist. 

Afi) 

+ C[i\ 
S[\] StO] =0.3 

Jfrnax + l) Jrti+ll.J 0 

0 Yli] r[0] 



Die 3-Operanden- Addition wird in zwei Abschnitte unterteilt Im ersten Abschnitt wird an jeder binaren Stelk 
eine Surnme der drei Bits der Operanden A. Bund CgebildeL Die Summe von A [/], B[i\ und C[f] kawi die Wert< 
0. 3 annehmen, sie ist also binar mit den zwei (1) Bits S[l] und 5[0] darstellbar. Da die Summe an jeder Stelh 
gebildet wird konnen aus den zwei Surnmenbits zwei neuc Zahlen X und Yzusammengestellt werden (/ = 0 bii 
max): 

Y[H : - 5[0J y[max + 1] : - 0 und 
X[i+\] :-S[IJ, X[0]:~0. 

Im zweiten Abschnitt werden die beiden Zahlen auf die Gbliche Art und Weise addiert Die Verlangerung un 
ein Bit bereitet keine Probleme.da das Ergebnis urn mindestens ein Bit kurzer ist als der Iangste Operand 

Damit die Additionslogik nicht einen zu hohen Energieverbrauch hat, sind bei ihr an mehxeren Stellen die 
Pullup-Transistoren weggelassen worden. Sie ist also in einem metastabilen Zustand Kippt sie dann bei dei 
Addierung in einen stabilen Zustand so kann sie diesen nicht mehr selbstandig vertassea Deshalb muB die Logil 
am Ende eines Zyklus mit einem externen Precharge-Signal wieder in den metastabilen Anfangszustand ge 
bracht werden. Wahrend dieses Zeitraums wird die Bitaddition eingeschoben. 

Der Kryptographie-Prozessor 

Dieser zweite Teil der Erfindungsbeschreibung befaBt sich mit dem Blockschaltbild und dem daraus res'ultie 
renden Floorplandes Prozessors, 

Eine Teilaufgabe der Erfindung besteht darin, die Struktur einer speziatisierten Elementarzelle (10), die dei 
RS A-Atgorithmus optimal unterstutzt, darzustellen. Mit dieser Struktur wird das Blockschaltbild des Prozessor 
festgelegt Dieses enthalt genugend Informationen, urn einen darauf abgestimmten Roorplan des Prozessor 
entwerfen zu kdnnen. 

Wie wird der RSA-Algorithmus efficient unterstutzt? Urn diese Frage zu beantworten. mussen die einzelnei 
Schritte des Algorithmus auf die Eigenschaft uberpruft werden, ob sie selten ausgefOhrt werden und/oder weni{ 
Zeit bendtigen oder ob das Gegenteil zutrifft lm ersten Fall ist es sinnvoller. die Schritte durch Mikroprogramn 
zu realisieren. Bei den zeitkritischen Schritten dagegen muB die Hardware- Implementierung in die Element a r 
zelle veriegt werdea Es werden die folgenden Schritte auf der Ebene des RSA-Algorithmus ausgefOhrt (siem 
FluBdiagramm in Fig. 6): 

1. Die Initiaiisierung;den beiden Variablen Cund e werden die Startwerte zugewiesen. 

2. Die Schleife; in ihr gibt es zwei Abfragen und die dadurch induzierten SprQnge, zwei Aufrufe de: 
Mult Mod- Algorithmus und die I nkrementierung der Variablen e. 

jeder der aufgelisteten Schritte wird entweder wShrcnd der Berechnung nur einma) ausgefOhrt, oder di< 
Operation beschrankt sich auf wentge Bits, z.B. die binare Abfrage eines Exponentenbtts. AuBerdem sind e: 
einfache Operationen und bendtigen daher kaum Rechenzeit. Die Schritte werden also durch ein Mikropro 
gramm realisiert. Eine einfache Steuereinheit 42 wird dieses Problem ausftihren (Fig. I \\ 

Die Variablen, die mit einem kleinen Buchstaben bezeichnet sind.haben alle eine Zahlerfunkiion. Sie arbeitet 
eng mit der Steuereinheit 42 zusammen. da dessen Entscheidungen von den Zahlern abhangen und andererseit: 
die Zahler in Abhangigkeii der Entscheidungen der Steuereinheit de- bzw. inkrementiert werden. Sie mtissei 
deshalb in enger Nachbarschaft zur Steuereinheit plazien werden. Dies ist mogtich. da deren Lange einen Wer 
von Id (L (M)) Bits hat (Id - Logarithms Dualis). Bei einer SchlQssellange von 660 Bits sind sic 10 Bits lang. 

Dieselben Argumente sind fOr die Abfragen und die Zahler des MultMod-Algorithmus gUltig. AHerding: 
werden diese Aufgabcn von einer separatcn anderen Steuereinheit 36 (Fig. 1 0) Ubernommen. da die Berechnunj 
der look-Ahead-Parameter sehr zcitkritisch im Hinblick auf den Ablauf der Mult Mod- Bereehnung ist. Die 
rechucitigc Gcncrierung der Shift-Betragc 5zund sn sowic der Information, ob und mit welchem Vorzeichen / 



16 



• PS 36 31 992 



und Win die 3-Operanden-Addition eingeht, beeinfluBt die Zykluszeit wesentlich. 

Nicht in diese Steuereinheit gehoren die Operationen, die mit den L(N) Bit lancen Zahlen durchgefuhn 
werden. Fur ihre Speicherung in nachster Nahe der ausfOhrenden Logik sowie fur die Logik selbst wurde eine 
ElementarzeUe (Rg. 7) en tworfea 

Die benotigten Register und die Logik der ElementarzeUe 10 ergeben sich aus Fig. 7. Danach umfafit die 
ElementarzeUe 10 em Register 12, welches einen MulupUkator A/enthalt, sowie ein Code-Register 14 und ein 
Datum-Register 16. Es folgt ein UD-Shtft-Register 18, welches ATenthalt und -2 +2 Bit schiebt 

Weitere Bestandteile der ElementarzeUe 10 sind ein Barrel-Shifter 20, ein Bitaddierer 22. sowie ein Volladdie- 
rer 24, an den sich ein Carry-Look-Ahead-Element 26 anschlieBt 

Im RSA- und MultMod-Algorithmus werden zusammen funf Register bendugt: 

1 . Das Register 1 2 fur den jeweiligen Multiplikator M; die Lange des Registers ist L (Nl 
Z Das Register 14 fur das verschlusselte Datum; in ihm steht wahrend der Berechnung die Variable Q deren 
Wert nach Abarbeitung des RSA-Algonthmus das Ergebnis der Verrchlusselung ist Die Lange des Regi- 
sters ist L (A/). " b 

3. Das Register 16 fflr xlas zu verschlusselnde Datum; in ihm steht wahrend der Berechnung die Variable P 
die zu Beginn des RSA-Algonthmus den Wert des zu verschlusselnden Datums zugewiesen bekomm. Die 
LSnge des Registers ist L (A/). ° 

4. Das Register 18 fur den Modul N; in ihm steht wahrend der Berechnung ein Vielfaches des Moduls. Daher 
hatdas Renter die Lange L(rV) + MAX Dieses Register hat auBer der Speicherfunktion die IWgkeit die 
Variable rVm einem ^cnntt urn mehrere Stellen zu verschieben. N wird in jedem Zyklus urn sn Stellen 
relativ zu Znach rechts verschoben. Gleichzeitig wird Z urn sz SteUen nach links verschoben, d h. AT wird 
absolut urn s/7-sz Stellen nach rechts verschoben. sz und sn konnen die Werte 1 ...3 amehmen (der 
maximale Look-Ahead k wurde auf den Wert 3 festgesetzt). Der absolute Shift-Betrag. urn den N nach 
rechts verschoben wird n.mmt a*o die Werte -2 ... 2 an. Ein negativer Shift-Betrag nach rechts bedeutet, 
a t !£ C cJ "t o VC " °m? l n An,chnun S an ™ LR-Shift-Register wird die geforderte Funktion mit 
dem UD-Shift-Register (UpDown) 18 realisiert, das in jedem Halbzyklus in jeder Richtung urn 1 Bit 
verschieben kann, m einem Vollzyklus also urn 2 Bits. 

5. Das Register Z(umfassend 20, 22, 24) fOr das Zwischenergebnis Zdes MultMod- Algorithms; dieses 
Register w.rd zum Beginn jedes Zyklus ausgelesen und am Ende mit dem neuen Zwischenergebnis beschrie- 
ben. Das Register muB also nur fur eine kurze Zeit die Variable Zspeichern. Am einfachsten wird diese 
Funktion durch die dynamische Speicherung jedes Bits von Z auf dem Bngangsgate eines Inverters 
realisiert. Die Lange des Registers ist L (A) + MAX, da das Register 1 8 diese Lange hat und Zdessen Wert 
annehmen kann. Das Register Zist als Bestandteil des Volladdierers 24 aufzufassen. 

Die drci crstcn Register 12, 14 und 16 werden als statische Speicher entworfen. da sie uber langere Zeitraume 
Inforrr.ationen speichern mOssea 
Neben den besprochenen Registern gehort in den Elementarzellenentwurf : 

1. Ein Barrel-Shifter 20, der das Ergebnis der Addition, das Zwischenergebnis Z urn 0 .. 3 Bits verschieben 
kann. Die Einbeziehung des O-Bit-Shift in die Fahigkeiten des Barrel-Shifters ist notwendig, da die Multipli- 
kation vor der Modulorechnung fertig wird und dann Znicht (!) mehr verschoben werden darf 

2. Ein Bitaddierer 22 ohne Obertragungsbit (Carrybit), der die 3 Operandenbits in eine mit zwei Bits 
darstellbare Summe umwandelt 

3. Ein Volladdierer 24: so wird ein 2-Bit-Addierer bezeichnet, der das Carrybit der nachstniederen Stelle 
verarbeitet und selbst ein Carrybit fur die nachsthdhere Stelle generiert 

NachUgend wird das Multiplizieren in dem Ausfuhrungsbeispiel erlautert Die Additionslogik hat einen 
esenden Zugnff auf die Register 16, 18 und 20, 22, 24, und sie kann in jedes Register eine Zahl abspeichern. P 
* ,Sl "Vf dem MultMod Aufruf des RSA-Algorithmus einer der beiden Faktoren. Wird Pimmer als 
Muliiphkant gewahlt und der andere Faklor als Multiplikator, cknn genOgt es, wenn die Elementarzellenlogik 
nur die Register 16, 18 und Z (20, 22 und 24) auslesen kann, urn die erforderlichen Shift-Operationen und die 
3-Ope:anden- Addition ausfOhren zu kdnnen. 

Die MullMod-Steuereinheit 36 (Fig. 10) lest die Detailaufgabe, die Look-A head- Parameter zu generieren. 
w US . ?i eS i C T " W der MuUi P ,ikator M im Register 12 parallel mit dem Register Z verschoben. Die 
Mult Mod-Steuereinheit 36 hat Zugrif f auf die obersten Bits des Registers 12 (vgl. Rg. 1 2\ In Abhangigkeit dieser 
Bits generiert die MultMod-Steuereinheit 36 den Schiebeparameter sz, der aber nicht direkt ausgegeben wird 
sondern in entsprechende Steuersignale umgesetzt wird. Diese Vorgange laufen in Rg. 1 2 in der Multiplikations- 
Schiebelogik 50 ab. 

Entsprechend I wird der Verschiebeparameter sn in der Modulo-Schiebelogik 52 generiert. Ein Vergteicher 38 
yergletchl die oberen Bits v 0 n szmit 1/3. 1/6. 1/12 ... von N. Entsprechend dem Algorithms aus Rg. 5 wird das 
Vcrgleichsergebms an die Modulo-Schiebelogik 52 geliefert. Dieser Wert gibt den relativen Betrag an. urn den 
das Register 16 relativ zu Znach rechts verschoben wird. Die Modulo-Schiebelogik 52 generiert aus diesem 
relativen Wert und dem Schiebebetrag der Multiplikations-Schiebelogik 50 den absoluten Schiebeparameter sn. 
Wiederum wird sn nicht ausgegeben. sondern gleich in entsprechende Steuersignale umgesetzt. 

Die in Rg. 12 dargestellten Begrenzer 54 und 56 haben die Aufgabe, den Schiebebetrag sz oder sn zu 
begrenzen. Tails das Register 18 die Puffcrgrenzcn (Iberschreiien sollte. was weher oben schon erwahm wurde. 
Die Signale des ersten Begrenzers 54 und des zwciten Begrenzcrs 56 werden von der MultiDlikaiions Schicbelo- 
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gik50unddcrModuIo-Schiebelogik52mitverarbcitcL • 

Der erne Zahler 58 in Fig. 12 enthalt die Variable #n(vgL Fig. 6b), die angibt wieviel Bits des Multiplikators im 
Register \2 noch zu bearbeiten sind. Der zwehe Zahler 60 enthalt die Variable n (vgL Fig. 6b bzw Fie 51 die 
angibt un wie viele Bits das Register 1 8 (N) in den Puffer hineingeschoben worden ist 

Nachdem in Fig. 7 eine Elementarzelle 10 dargestelh ist zeigt Fig. 8. wie in einem hierarchischen Aufbau aus 
mehreren Elementarzellen 10 ein 4-Zellen-Block 28 mit einem hierarchischen Carry-Look-Ahead-Element 30 
aufgebaut wird. GemaB Fig. 9 sind funf 4-Zellen-Bl6cke 28 in einer weiteren Stufe zu einem 20-Zel!en-BIock 32 
aufgebaut, und wie Fig. 10 zeigt, sind in einem weiteren hierarchischen Aufbau raehrere 20-ZeUen-BJdcke 32, 
von denen der oberste als Puffer 34 ausgebildet ist, zu einer VerschlQsselungseinheit 40 mit einer MultMod- 
Steuereinheit 36 zusammengefaBt 

Eine gemSB Fig. 7 aufgebaute Elementarzelle 10 ist in der Zusammenarbeit mil der MultMod-Steuereinheit 36 
< I % S S^" 6 ? K MU l tM ^ ld S * cma * R * 6b in einem Zyklus zu erledigen, da sic fur jeden 
1 ^ £ o^ ClFC < Ve ™ 6te £ n ** Modulus urn mehrere im Register 18 (N): Verschieben des Registers 
IPS** l ttm AT h vn%* m *™*®**r 20: Ausfuhrung der 3-Operanden-Operation mittels des 
BitaoMierers 22 und des Volladdierers 24 und der Carry- Loo VAhead-Einheit 26) eine spezSelle Logik enthalt Die 
MultMod-Steuereinheit 36 berechnet (Fig. 12) parallel zur Arbeit der Elementarzelle 10 die Parameter des 
nachsten Zyklus. Damit ist die direkte Umsetzung des erfindungsgemaBen Verfahrens in dem VLSl-Entwurf des 
Kryptographie-Prozessors gegebea 

GemaB Fig. 13 und 14 wurde ein Carry-Look-Ahead-Element 30 entwickelt welches erkennt, ob sich Carry- 
Bits Ober grfiSere Drstanzen beeinflussen. Da dies im Kryptographie-Prozessor beidergewahlten Ldsung nur in 
emem von 3o 000 Fallen so ist, besummt nicht mehr die Dauer der langsten (niederwertigste Carry-Bit be^^n»R» 
das hdcnstwertigsteX sondern der durchschnittlichen Additionszeit die Zykluszeit der Additionslogik. 

Das Carry-Look-Ahead-EIement (CLA) 30 ist hierarchisch aufgebaut Es verarbeitet die CLA-Signale der 
untergeordneten Stufe (hnke Seite) und generiert ein CLA-Signal fur die Qbergeordnete Stufe (rechte Seitel 

Ein Propagate-Signal einer Position bedeutet daB der Obertrag dieser Position vom Obertrag der nachstnied- 
ngeren Position bestimmt wird Wenn alle Propagate-Signale aktiviert sind, generiert das hierarchische Carry- 
^k-Anead-Element 30 das Propagate-Ausgangssignal dieses Elements. Eui Kill-Signal besagt daB diese 
Position] keinen Ubertrag hat Das Kill-Ausgangssignal wird aktiviert, wenn in den untergeordneten Elementen 
entscheidbar ist, daB die hochstwertige Position dieses Elements keinen Obertrag hat 

Die arry-Look-Ahead-Elemente30 k6nnen nach einem Baukastenprinzipzu einer Baumstruktur zusammen- 
gesteckt werden. Sie reprasentieren dann jeweils eine groBere Anzahl von Carry-Bits. Der Vorteil der CLA ist 
die senelle Abarbeitung der Carry-Bits durch eine parallel-serielle (baumartige) Abarbeitung zu ersetzen. 
Dadurch wird die Additionszeit ^rheblich reduziert 

In der Realitat yervielfaete sich mit jeder zusatzlich benddgten Stufe allerdings die Lange der Signalpfade so 
daB ab einer bestimmten Baumtie. die Zusammenfassung benachbarter Baume keinen Gewinn mehr erbringt 
Bei den Wurzeln dieser Baume wird der Obertrag dann wieder seriell verarbeitet 

Letzteres ist in Fig. 14 zu erkennen, welche die Verschaltung der Carry-Look-Ahead-Elemente 30 in Verbin- 
dung mil einem Unterbrecher 62 zeigt lnnerhalb eines Blockes von 20 Bits werden die Obertrage durch den 
CLA-Baum verarbeitet Von Block zu Block wird der Obertrag seriell weitergereicht 

m Dieses Konzept ist im Kryptographie-Prozessor 48 noch geringfugig erweitert Das nutzlos gewordene 
Block-Propagate-Signal wird dazu verwendet, den Unterbrecher 62 zu aktivieren, der die Taktsignale for die 
benfitigt 011 8 Cn UnterdrQckt Dies isl d ' e Zeit * die ein 0be »trag durch die gesamte senelle Blockkette 

Wird also der Obertrag eines Blockes vom nachstniederwertigen Block bestimmt ist das Block-Propagate-Si- 
gnal durch die Block-CLA automatisch aktiviert Der Unterbrecher 62 wird eingeschaltei, und die Blockkette 
erhalt genOgend Zeit sich korrekt einzupegeln. 

Die Zykluszeit kann daher so eingestellt werden. daB sie gerade ausreicht. den Obertrag direkt benachbarter 
Bldcke zu verarbeitea Der Vorteil hierbei ist sehr groB. da unabhangig von der Anzahl der Stellen nur die Zeit 
eines Block-Ubertrages berucksichtigt zu werden braucht Die Dauer der Berechnung einer 660- Bit-Addition ist 
daher nicht langer als die einer 20-Bit-Addition. Lediglich in einem von ungefahr 30 000 Fallen beeinflussen sich 
die Carry-Bits Ober mehr als zwei Blocke hinweg. Dies erkennt die CLA. Die Addition benotigt dann nicht einen 
sondern acht Zyklen. 

Aus der Zerlegung von RS A Algorithms in Grundoperationen und ihre Umsetzung in eine erfindungsgema- 
0e Schaltung kann die absolute Schrittzahl berechnet werden, die zur VerschlOsselung eines Datums (Nachricht) 
notwendig ist Daraus direkt ableitbar ist die VerschlQsselungsrate in aflgemeiner Form V R5A ausgedrUckt in 
codiertcn Bits pro Sekunde: ' 
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Sie ist 



— proportional zur Frequenz /des Prozessors, 

— proportional zur Anzahl der Bits L(N), die zusammen verschlusselt werden, 

— umgekehrt proportional zur Anzahl 3/2 • L(A/)der MultMod-Auf rufc 

— umgekehrt proportional zur Anzahl L{N^min{Erw(s^ Ers(sn))4er Additionen bzw. Subtraktionen je 
MultMod-Auf mf und 

— umgekehrt proportional zur Anzahl L(N) - A/Bdcr Einzelschritte. in die die Addition bzw. Subti-aktion 
einer groQen Zahl zerlegt wird B ist die Breite der ALU (je breiter die ALU ist, desto weniger Operationen 
sind zur Addition zweier Langwortzahlennotwendig) und .4 ist die Addition der Zyklen zur Ausfuhrung 
einer Operation. 

Fur den neuen Kryptographie-Prozessor ist Erw{sz) = £rs(s/j)und AJB = t/£(N), wei! die Datenureite der 
ALU gleich der Lange der zu verschlusselnden Daten ist und die ALU-Operauon nur einen Zyklus bendtigt 
Daraus folgt in diesem Fall fur die Verschiusselungsrate des Kryptographie- Prozessors Vrsa kk 



Die Frequenz von 30 MHz ergibt sich aus einer Extrapolation einer in 5 nm-NMOS-Technologie erreichten 
Zykluszeit von 100 ns (ein als Labormuster hergestellter Prototyp besteht aus ca. 5000 Transistoren in 
5 unvNMOS-Technologie) auf heute gangige 2 pm-CMOS-Technologien. 

Aufgebaut ist das beschriebene AusfOhrungsbeispicI des erfindungsgemafien Kryptograpbie-Prozessors aus 
ca. 80000 Transistoren in 2 u.m-CMOS-Technoiogie. Die Chipflache betragt dann 52 mm x 52 mm. Bei der 
maximalen Schlussel-Lange von 660 Bits ver- und entschlusselt er im ungunstigsten Fall Daten immer noch mit 
einer hohen Geschwindigkeit von 64 000 Bit/sec. 

Die logische Blockstruktur und der Floorplan ergeben sich aus Fig. 16 und Fig. 17. Fig. 16 zeigt das Block- 
schaltbiid des Kryptographie-Prozessors 48, das sich unmittelbar aus den vorangegangenen Erlauterungen der 
Elementarzeile 10 ableitenlaBt 

Bei der Konzeption des Floorplans gemaB Fig. 17 sind verschiedene Rahmenbedingungen zu beachten: Zum 
einen die Struktur der Elementarzdle 10, weilerhin die JCommunikation der Elementarzellen uniereinander und 
schlieBlich die Gewahrleistung des Anschlusses aller erforderlichen Steuersignale an die Elementarzellen. 

Vler Komponenten der Elementarzeile 10 tauschen mit den entsprechenden Komponenten benachbarter 
Elementarzellen Information aus. Das ist erstens das UD-Shift-Register 18 (vgL Fig. 7), zweitens der Bitaddierer 
22, drittens der Barrel-Shifter 20 und viertens der Volladdierer 24. Das impliziert, daB die einzelnen Komponen- 
ten der Elementarzeile flbereinander plaziert werden, denn dann entstehen keine zusatzlichen Kommunikations- 
wege zu benachbarten Elementarzellen. Aus der relativ hohen Anzahl der Komponenten folgt, daB die Elemen- 
tarzeile der gewahlten Ausfuhrungsform des Prozessors eine geringe Bauhdhe und eine groBe Breite hat 

Obwohl die Elementarzeile flach ist, ergibt ihre notwendige Stapelung einen schmalen hohen Turin, wie links 
in Fig, \7 zu sehcn ist Aus ferti'iingstechnischen Grfinden werden mdglichst quadratische Chips angestrebt 
Deshalb wird der Turm in einzelne Stapel aufgeteilt, die dann nebeneinander plaziert werden (Fig. 17 rechts). 
Jeder zweite Stapel steht auf dern Kopf, weil dann die Elementarzellen, die vorher an der Trennlinie Qbereinan- 
der benachbart waren, zu seitlichen Nachbam werden. Die benotigten Informationen werden an der Ober- und 
Unterseite der Stapel t.u den Nachbarzellen flbertragea 

Die noch nicht plazierten Einheiten des Prozessors, Hauptsteuereinheit 4.1 und I/0-Einheit 44, bendtigen im 
Verhaltnis zur VerschlQ«selungseinheit 40 so wenig Platz, daB sie an beliebiger Stellc an ihrem Rand plaziert 
werden kdnnen. 
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f KP = 30 MHZ, Erw(si) = 2^7, L(N) = 660 Bits 
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